一.什么是惡意軟件
惡意軟件是一種秘密植入用戶系統(tǒng)借以盜取用戶機(jī)密信息,破壞用戶軟件和操作系統(tǒng)或是造成其它危害的一種網(wǎng)絡(luò)程序。對(duì)于絕大多數(shù)系統(tǒng)來(lái)說(shuō),惡意軟件已經(jīng)成為了最大的外部威脅,給企業(yè)和個(gè)人都帶來(lái)了巨大的損失。僅以惡意軟件中的間諜軟件為例,間諜軟件侵犯了用戶的隱私,這已經(jīng)成為企業(yè)用戶關(guān)注的焦點(diǎn)。盡管間諜軟件的出現(xiàn)已有時(shí)日,但是近幾年使用間諜軟件侵入系統(tǒng)監(jiān)視用戶行為變得更加猖獗。企業(yè)還面臨一些與惡意軟件相關(guān)的非惡意軟件威脅。其中司空見(jiàn)慣的就是網(wǎng)絡(luò)釣魚(yú),就是使用基于計(jì)算機(jī)的欺騙方法套出用戶的敏感信息。還有就是病毒欺騙,就是對(duì)新的惡意軟件威脅發(fā)出錯(cuò)誤的警報(bào)。
二.惡意軟件分類(lèi)
一般認(rèn)為,惡意軟件包括病毒,蠕蟲(chóng),木馬,惡意的移動(dòng)代碼,以及這些的結(jié)合體,也叫做混合攻擊。惡意軟件還包括攻擊者工具,譬如說(shuō),后門(mén)程序,rookits,鍵盤(pán)記錄器,跟蹤的cookie記錄。本篇討論的內(nèi)容包括,惡意軟件怎么樣進(jìn)入和感染系統(tǒng)及其傳播;怎么樣工作;針對(duì)的目標(biāo);怎么樣影響系統(tǒng)。
2.1 病毒
病毒能夠?qū)崿F(xiàn)自我復(fù)制,并且感染其它文件,程序和計(jì)算機(jī)。每一種病毒都有感染機(jī)制;譬如,有的病毒可以直接插入主機(jī)或是數(shù)據(jù)文件。病毒的威力可大可小,有些可能只是小惡作劇,還有可能是相當(dāng)惡意的攻擊。絕大多數(shù)的病毒都有誘發(fā)機(jī)制,也就是誘發(fā)其威力的原因,一般需要用戶的互動(dòng)方能實(shí)現(xiàn)。目前有兩種重要的病毒,一是可編譯病毒(compiled virus),主要通過(guò)操作系統(tǒng)實(shí)現(xiàn);二是演繹性病毒(interpreted virus),主要通過(guò)應(yīng)用程序?qū)崿F(xiàn)。
2.1.1 可編譯病毒
可編譯病毒的源代碼可以經(jīng)由編譯器程序轉(zhuǎn)換為操作系統(tǒng)可以直接運(yùn)行的程序格式。可編譯病毒包括以下三種:
■ 文件感染器(file infector) 這種病毒一般將其附加在可執(zhí)行程序中,譬如word,電子表格和電腦游戲。一旦病毒感染程序,就直接影響系統(tǒng)中的其它程序,還有使用系統(tǒng)作為共享的感染程序。Jerusalem和Cascade就是兩種最出名的文件感染病毒
■ 引導(dǎo)區(qū)(boot sector)引導(dǎo)區(qū)病毒一般感染硬盤(pán)驅(qū)動(dòng)的MBR或是硬驅(qū)和移動(dòng)媒介的引導(dǎo)區(qū)。引導(dǎo)區(qū),顧名思義就是存儲(chǔ)信息的硬盤(pán)或是磁盤(pán)的開(kāi)始部分。MBR是磁盤(pán)上比較獨(dú)特的區(qū)域,因?yàn)殡娔X的基本輸出/輸入系統(tǒng)(BIOS)可以加載啟動(dòng)程序的地方就在此。一旦電腦啟動(dòng)的時(shí)候,如果硬驅(qū)中有感染的磁盤(pán),病毒就自動(dòng)執(zhí)行。引導(dǎo)區(qū)病毒隱藏性很強(qiáng),成功率高,破壞性強(qiáng)。其表現(xiàn)就是啟動(dòng)的時(shí)候出現(xiàn)錯(cuò)誤信息或是啟動(dòng)不穩(wěn)定。Form,,Michelangelo和Stoned是很典型的引導(dǎo)區(qū)病毒。
■ 混合體(Multipartite)混合體病毒使用多種感染方式,典型的是感染文件和引導(dǎo)區(qū)。相應(yīng)地,混合體病毒有上述兩種病毒的特征。典型例子:Flip和Invader
除了感染文件之外,可編譯病毒還可以躲藏在感染系統(tǒng)的內(nèi)存中,這樣每次執(zhí)行新的程序的時(shí)候就可以感染新的程序。在上述三種病毒中,啟動(dòng)區(qū)域病毒最有可能存在于內(nèi)存中。相比那些非存在于內(nèi)存中的病毒而言,這種病毒危害性更大,更加頻繁。
2.1.2 演繹性病毒
與可編譯病毒有操作系統(tǒng)執(zhí)行不同的是,這種病毒的源代碼只能由特定程序來(lái)實(shí)現(xiàn)。這種病毒以其簡(jiǎn)單易操作深受歡迎。即使一個(gè)不是太熟練的黑客也可以借此編寫(xiě)和修正代碼,感染計(jì)算機(jī)。這種病毒的變體很多,最主要的兩種是宏病毒(macro virus)和腳本病毒(scripting virus)
宏病毒是這種病毒中最流行最成功的。病毒一般附加到word,電子表格等,并且使用這些程序的宏編譯語(yǔ)言來(lái)執(zhí)行病毒。它們利用的正是很多流行軟件的宏編譯語(yǔ)言功能,譬如說(shuō),微軟的辦公軟件。由于人們共享具有宏功能文檔的增多,這種病毒也越來(lái)越流行。一旦宏病毒感染發(fā)生,就會(huì)感染程序的建立和打開(kāi)文件夾模板程序。一旦模板被感染,所有藉由此模板建立和打開(kāi)的文件都會(huì)被感染。Concept, Marker, 和Melissa 就是很出名的宏病毒。
腳本病毒與宏病毒類(lèi)似。最大區(qū)別在于,宏病毒是以特定軟件程序語(yǔ)言為基礎(chǔ),而而腳本病毒是以操作系統(tǒng)理解的語(yǔ)言編程,譬如說(shuō)Windows腳本主機(jī)功能就可以執(zhí)行VB腳本語(yǔ)言。典型的腳本病毒有First 和 Love Stages病毒。
2.1.3 病毒模糊技術(shù)
現(xiàn)在的病毒變得越來(lái)越復(fù)雜,一般使用多種障眼法達(dá)到掩蓋自己的目的。病毒越難查出,危害性就越大。下面介紹幾種典型的病毒模糊技術(shù)。
■ 自我加密和自我解密 有一些病毒能夠加密和解密他們的病毒代碼,這樣就可以躲避殺毒軟件的直接檢查。使用加密的病毒可能會(huì)使用多層加密或是隨機(jī)加密密鑰,這樣即使是病毒本身代碼是一樣的,看起來(lái)也有天壤之別。
■ 多態(tài)化 多態(tài)化是自我加密的形式多樣化。一般來(lái)說(shuō),多態(tài)化實(shí)現(xiàn)默認(rèn)加密設(shè)置的改變,解碼也會(huì)隨之改變。在多態(tài)化病毒中,病毒本身的內(nèi)容沒(méi)有改變,加密只改變其外在形式。
■ 變形記 變形記的思路是改變病毒本身實(shí)質(zhì),而不是使用加密隱藏其實(shí)質(zhì)。病毒的改變有幾種方式,譬如,在源代碼中加入不必的代碼順序,或是更改源代碼的順序。被替換的代碼被重新編譯,其執(zhí)行的時(shí)候看起來(lái)似乎完全不同。
■ 秘密病毒(stealth)這種病毒使用多種技術(shù)隱藏病毒特征。
■ 裝甲 使用裝甲的目的就是為了阻止殺毒軟件或是專(zhuān)家分析病毒功能
■ 隧道法(tunneling)這種病毒一般潛在操作系統(tǒng)的下層接受底層的操作系統(tǒng)請(qǐng)求。由于其位于殺毒軟件之下,借用操作系統(tǒng)就可以防止其被殺毒軟件查出。
殺毒軟件廠商都下大力氣防止病毒模糊技術(shù)。一些老式的模糊技術(shù),譬如自我加密,多態(tài)化,和秘密行動(dòng),殺毒軟件都能有效地處理。但是新的更加復(fù)雜的,譬如,變形技術(shù),現(xiàn)在還很難查殺。
2.2蠕蟲(chóng)
蠕蟲(chóng)能夠?qū)崿F(xiàn)自我復(fù)制的程序,蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒。它的傳染機(jī)理是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播,傳染途徑是通過(guò)網(wǎng)絡(luò)、電子郵件以及優(yōu)盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備。蠕蟲(chóng)程序主要利用系統(tǒng)漏洞進(jìn)行傳播。它通過(guò)網(wǎng)絡(luò)、電子郵件和其它的傳播方式,象生物蠕蟲(chóng)一樣從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)。因?yàn)槿湎x(chóng)使用多種方式進(jìn)行傳播,所以蠕蟲(chóng)程序的傳播速度是非常大的。
蠕蟲(chóng)侵入一臺(tái)計(jì)算機(jī)后,首先獲取其他計(jì)算機(jī)的IP地址,然后將自身副本發(fā)送給這些計(jì)算機(jī).蠕蟲(chóng)病毒也使用存儲(chǔ)在染毒計(jì)算機(jī)上的郵件客戶端地址簿里的地址來(lái)傳播程序。雖然有的蠕蟲(chóng)程序也在被感染的計(jì)算機(jī)中生成文件,但一般情況下,蠕蟲(chóng)程序只占用內(nèi)存資源而不占用其它資源。
2.3 木馬
其名稱(chēng)來(lái)源于希臘神話,木馬是一種非自我復(fù)制程序,但是實(shí)際上帶有隱蔽的惡意動(dòng)機(jī)。一些木馬使用惡意版本替代現(xiàn)有文件,譬如系統(tǒng)和程序中的可執(zhí)行代碼;還有一些在現(xiàn)有文件中添加另外的程序重寫(xiě)文件。木馬一般有以下三種模型:
■ 執(zhí)行正常系統(tǒng)的功能的同時(shí),執(zhí)行單獨(dú)的,不相關(guān)的惡意活動(dòng)(譬如,在執(zhí)行游戲程序的時(shí)候收集程序密碼)
■ 執(zhí)行正常系統(tǒng)功能的同時(shí),修正其功能執(zhí)行惡意活動(dòng),或是掩蓋惡意活動(dòng)
■ 完全期待正常系統(tǒng)功能執(zhí)行惡意程序功能
木馬很難被檢測(cè)到。因?yàn)槟抉R病毒在設(shè)計(jì)之初就掩蓋了其在系統(tǒng)中的現(xiàn)形,并且執(zhí)行了原程序的功能,用戶或是系統(tǒng)管理員很難察覺(jué)。現(xiàn)在還有一些新的木馬使用了模糊化技術(shù)躲避檢測(cè)。
現(xiàn)在,使用木馬傳播間諜軟件越來(lái)越頻繁。間諜軟件一般與支持軟件捆綁,譬如說(shuō)一些點(diǎn)對(duì)點(diǎn)的文件共享軟件;一旦用戶安裝了這些貌似正常的軟件,間諜軟件亦隨之安裝。木馬病毒還會(huì)傳播其它種類(lèi)的攻擊者工具到系統(tǒng)中,借此可以實(shí)現(xiàn)未經(jīng)授權(quán)的訪問(wèn)或是使用感染的系統(tǒng)。這些工具要么是與木馬捆綁,要么是木馬替代系統(tǒng)文件之后再下載。
木馬會(huì)導(dǎo)致系統(tǒng)嚴(yán)重的技術(shù)問(wèn)題。譬如說(shuō),替代正常系統(tǒng)可執(zhí)行文件的木馬可能會(huì)導(dǎo)致系統(tǒng)功能的不正常運(yùn)行。與間諜軟件相關(guān)的木馬對(duì)系統(tǒng)的破壞性特別大,有可能會(huì)導(dǎo)致系統(tǒng)不能正常運(yùn)行。木馬及其安裝的相關(guān)工具會(huì)消耗大量的系統(tǒng)資源,導(dǎo)致系統(tǒng)性能的嚴(yán)重下降。著名的木馬病毒有SubSeven, Back Orifice和Optix Pro.等等。
2.4惡意的移動(dòng)代碼
移動(dòng)代碼可以在不需要用戶指示的情況下實(shí)現(xiàn)遠(yuǎn)程系統(tǒng)在本地系統(tǒng)上的執(zhí)行。這是編程方法現(xiàn)在很流行,編寫(xiě)的程序被廣泛使用于操作系統(tǒng)和應(yīng)用程序上,譬如說(shuō),網(wǎng)絡(luò)瀏覽器和電子郵件應(yīng)用程序。盡管移動(dòng)代碼本身不壞,但是黑客們卻發(fā)現(xiàn)惡意的移動(dòng)代碼是攻擊系統(tǒng)的有效工具,也是傳播病毒,蠕蟲(chóng)和密碼的良好機(jī)制。惡意移動(dòng)代碼與病毒和蠕蟲(chóng)很不同的地方在于它不感染文件或是自我復(fù)制。與利用利用系統(tǒng)漏洞不同的是,它利用的是系統(tǒng)給于移動(dòng)代碼的默認(rèn)優(yōu)先權(quán)。編寫(xiě)惡意移動(dòng)代碼的受歡迎的語(yǔ)言包括Java, ActiveX, JavaScript, 和 VBScript.。其中最出名的惡意移動(dòng)代碼是使用Java腳本的Nimda。
2.5 混合攻擊
混合攻擊使用多種感染或是攻擊方式。著名的Nimda蠕蟲(chóng)實(shí)際上就是很典型的混合攻擊。它使用了四種分布方法:
■ 電子郵件 一旦用戶打開(kāi)了惡意的郵件附件,Nimda就會(huì)利用瀏覽器上的漏洞展現(xiàn)基于HTML語(yǔ)言的電子郵件。一旦感染了主機(jī),Nimda就會(huì)尋找主機(jī)上的電郵地址然后發(fā)送惡意郵件。
■ Windows共享 Nimda掃描網(wǎng)絡(luò)服務(wù)器,尋找微軟的網(wǎng)絡(luò)信息服務(wù)(IIS)上的已知漏洞。一旦發(fā)現(xiàn)有漏洞的服務(wù)器,馬上就會(huì)發(fā)送復(fù)件到這臺(tái)服務(wù)器上感染服務(wù)器和文件。
■ 網(wǎng)絡(luò)客戶端 如果有漏洞的網(wǎng)絡(luò)客戶端訪問(wèn)了被Nimda感染的網(wǎng)絡(luò)服務(wù)器,那么客戶服務(wù)器也被感染了。
除了使用上述描述的方法之外,混合攻擊可以通過(guò)即時(shí)通訊和點(diǎn)對(duì)點(diǎn)文件共享軟件傳播。人們很多時(shí)候把混合攻擊誤認(rèn)為蠕蟲(chóng),因?yàn)樗哂腥湎x(chóng)的一些特征。實(shí)際上,Nimda具有病毒,蠕蟲(chóng)和惡意移動(dòng)代碼的特征。另外一個(gè)混合攻擊的例子是Bugbear,它既是海量郵件蠕蟲(chóng)也是網(wǎng)絡(luò)服務(wù)蠕蟲(chóng)。由于混合攻擊比單一惡意軟件更加復(fù)雜,所以更難制造。
混合攻擊并非同時(shí)使用多種方式發(fā)動(dòng)攻擊,它們可以依次感染。它越來(lái)越作為傳播和安全木馬的流行方式。
2.6 跟蹤cookies
Cookies就是上網(wǎng)時(shí)留下的數(shù)據(jù)文件。Session cookies是對(duì)單一網(wǎng)站session有效的臨時(shí)cookies。長(zhǎng)期cookies是未定義地存儲(chǔ)在計(jì)算機(jī)上的cookies以便在以后的訪問(wèn)中確認(rèn)用戶。長(zhǎng)期cookies記錄下了用戶對(duì)于網(wǎng)站的喜好以便用戶下次的訪問(wèn)。這樣長(zhǎng)期cookies就可以更加有效地幫助網(wǎng)站服務(wù)客戶了。
但是,不幸的是,長(zhǎng)期cookies會(huì)被濫用跟蹤用戶的網(wǎng)絡(luò)瀏覽記錄。譬如說(shuō),一家市場(chǎng)調(diào)查公司可能會(huì)在很多網(wǎng)站上發(fā)布廣告,然后使用cookie跟蹤用戶訪問(wèn)網(wǎng)站的情況,借此調(diào)查用戶的行為特征。這叫做跟蹤cookies。有跟蹤cookies搜集到的信息出售給第三方以便更加有效地發(fā)布廣告。絕大多數(shù)的間諜軟件檢測(cè)和移動(dòng)工具都可以尋找系統(tǒng)中的跟蹤cookies。
另外一個(gè)獲取用戶私人信息的方法是網(wǎng)絡(luò)bug的使用。網(wǎng)絡(luò)bug是存在于網(wǎng)頁(yè)中HTML內(nèi)容中的小圖像。這個(gè)小圖像除了搜集用戶瀏覽HTML的信息之外,別無(wú)其它用途。一般用戶看不到網(wǎng)絡(luò)bug,因?yàn)樗挥幸粋€(gè)像素大小。正如跟蹤cookies一樣,它也為市場(chǎng)調(diào)查機(jī)構(gòu)廣泛使用。他們可以收集用戶IP地址或是網(wǎng)絡(luò)瀏覽器類(lèi)型,還可以訪問(wèn)跟蹤cookies。所有這些使得網(wǎng)絡(luò)bug可以被間諜軟件利用構(gòu)建用戶的個(gè)人信息。
2.7攻擊者工具
作為惡意軟件和其它系統(tǒng)威脅的一部分,各種各樣的攻擊者工具都可以發(fā)送到系統(tǒng)中。這些工具包括各式惡意軟件,會(huì)讓攻擊者未經(jīng)授權(quán)訪問(wèn)或是使用被感染系統(tǒng)及其數(shù)據(jù),或是發(fā)動(dòng)攻擊。一旦被其他惡意軟件傳播,攻擊者工具就會(huì)變成惡意軟件的同伙。譬如,一臺(tái)感染蠕蟲(chóng)的系統(tǒng)會(huì)直接受蠕蟲(chóng)的指示訪問(wèn)特定的惡意網(wǎng)站,下載工具,然后安裝到系統(tǒng)中。下面介紹幾種流行的攻擊者工具:
2.7.1 后門(mén)程序
后門(mén)程序是對(duì)監(jiān)聽(tīng)TCP或是UDP端口命令?lèi)阂廛浖慕y(tǒng)稱(chēng)。絕大多數(shù)的后門(mén)程序包括客戶端和服務(wù)器兩部分。客戶端在攻擊者的遠(yuǎn)程計(jì)算機(jī)上,服務(wù)器端位于感染的系統(tǒng)上。一旦客戶端和服務(wù)器之間連接上,遠(yuǎn)程攻擊者就會(huì)實(shí)現(xiàn)對(duì)感染計(jì)算機(jī)一定程度上的控制。即使最不濟(jì)的后門(mén)程序也會(huì)允許攻擊者執(zhí)行一定的系統(tǒng)命令,譬如文件傳輸,獲取密碼,或是執(zhí)行模糊命令。后門(mén)程序也有一些功能,如下:
■ 僵尸 最主流的僵尸就是DDoS攻擊代理。攻擊者可以使用遠(yuǎn)程命令控制大量計(jì)算機(jī)對(duì)同一目標(biāo)發(fā)動(dòng)攻擊。著名的DDoS攻擊代理有Trinoo 和Tribe Flood Network. 。
■ 遠(yuǎn)程管理員工具(RAT) 從字面意義上說(shuō),RAT會(huì)使攻擊者得到其想要的訪問(wèn)權(quán)限。絕大多數(shù)的RAT 都可以讓攻擊者訪問(wèn)系統(tǒng)功能和數(shù)據(jù)。包括監(jiān)視系統(tǒng)屏幕上出現(xiàn)的任何東西,或是遠(yuǎn)程控制系統(tǒng)設(shè)備,譬如攝像頭,麥克風(fēng)等。著名的RAT包括Back Orifice和Netbus等。
2.7.2 鍵盤(pán)記錄器
鍵盤(pán)記錄器用來(lái)監(jiān)視和記錄鍵盤(pán)的使用記錄。鍵盤(pán)記錄器記下輸入到系統(tǒng)中的信息,諸如電子郵件內(nèi)容,用戶名和密碼,或是金融信息。有一些鍵盤(pán)記錄器需要攻擊者從系統(tǒng)中找尋數(shù)據(jù),還有一些會(huì)自動(dòng)將數(shù)據(jù)通過(guò)電子郵件等發(fā)送到系統(tǒng)中。KeySnatch, Spyster, 和 KeyLogger Pro都是常用的鍵盤(pán)記錄器。
2.7.3 Rookits
Rookit是指一些安裝到系統(tǒng)中的文件,采取惡意的和偷偷摸摸的方式替代系統(tǒng)的正常功能。在一些操作系統(tǒng)中,,譬如Unix和Linux中,rookits修正或是代替數(shù)以百計(jì)的文件。在其它操作系統(tǒng)中,譬如Windows中,rookit修正或替代文件或是僅僅存在于內(nèi)存中,或是修正操作系統(tǒng)內(nèi)置系統(tǒng)請(qǐng)求的使用。許多經(jīng)rookit修改過(guò)的文件都會(huì)隱藏rookit的存在,這樣就使得rookit的探測(cè)變得異常困難。譬如說(shuō),rookit經(jīng)常用來(lái)安裝其它形式的攻擊工具,后門(mén)程序或是鍵盤(pán)記錄器等。一些rookit包括LRK5, Knark, Adore, 和Hacker Defender(黑客防御者).
2.7.4 網(wǎng)絡(luò)瀏覽器插件
網(wǎng)絡(luò)瀏覽器幫助用戶瀏覽網(wǎng)絡(luò)上的內(nèi)容。攻擊者常常借用插件傳播間諜軟件。一旦安裝到瀏覽器中,這些插件就會(huì)監(jiān)視瀏覽器的所有所有記錄,譬如網(wǎng)頁(yè)瀏覽記錄,然后將其報(bào)告給第三方。因?yàn)椴寮窃跒g覽器打開(kāi)的時(shí)候自動(dòng)加載的,這就提供了監(jiān)視系統(tǒng)網(wǎng)絡(luò)活動(dòng)的簡(jiǎn)單的方法。有一些惡意的網(wǎng)絡(luò)插件是間諜軟件撥號(hào)器,它們使用調(diào)制調(diào)解線在未經(jīng)用戶允許的情況下?lián)艽螂娫捥?hào)碼。一般說(shuō)來(lái),撥打的號(hào)碼都是高收費(fèi)電話或是緊急電話。
2.7.5 電子郵件生成器
惡意軟件可以通過(guò)電子郵件生成程序傳播到系統(tǒng)中,這樣在用戶不知情的情況下就會(huì)發(fā)生大量的郵件到其它的系統(tǒng)中。攻擊者一般使用電子郵件生成器發(fā)生惡意軟件,間諜軟件或是垃圾郵件或是其它內(nèi)容到收件人清單。
2.7.6 攻擊者工具包
攻擊者使用包含多種工具和腳本的工具包探測(cè)和攻擊系統(tǒng)。一旦系統(tǒng)受到惡意軟件或是其它方式的攻擊,攻擊者就會(huì)在系統(tǒng)中下載和安裝工具包。然后工具包就會(huì)借此對(duì)這一系統(tǒng)或是其它系統(tǒng)發(fā)動(dòng)攻擊。在攻擊者工具包中常見(jiàn)的程序:
■ 信息包探測(cè)器 信息包探測(cè)器用來(lái)監(jiān)視網(wǎng)絡(luò)流量和獲取信息包。信息包探測(cè)器一般可以嗅探到所有的信息包或是包含某一特征的信息包(TCP端口,或是特定IP地址)。絕大多數(shù)的信息包嗅探器也是協(xié)議分析器,也就是說(shuō)它們可以重新配置來(lái)自于各個(gè)信息包的流量,然后解密使用各種各樣協(xié)議的通訊。
■ 端口掃描器 端口掃描器遠(yuǎn)程掃描系統(tǒng)中開(kāi)放的端口。以此幫助黑客找到潛在的攻擊目標(biāo)。
■ 漏洞掃描器 漏洞掃描器用來(lái)尋找本地或是遠(yuǎn)程系統(tǒng)上的漏洞。以此幫助黑客成功對(duì)系統(tǒng)發(fā)動(dòng)攻擊。
■ 密碼破解器 使用密碼破解器破解操作系統(tǒng)和應(yīng)用程序密碼。絕大多數(shù)的破解工具都嘗試猜測(cè)密碼或是試遍可能的密碼。找出加密密碼的時(shí)間長(zhǎng)短不一,取決于加密手段或是密碼本身的復(fù)雜程度。
■ 遠(yuǎn)程登錄程序 攻擊者常常使用SSH( Secure Shell安全外殼)和telnet(用于遠(yuǎn)程聯(lián)接服務(wù)的標(biāo)準(zhǔn)協(xié)議或者實(shí)現(xiàn)此協(xié)議的軟件)遠(yuǎn)程登錄其它系統(tǒng)。攻擊者可以利用這些程序?qū)崿F(xiàn)很多目的,譬如控制受到威脅的系統(tǒng),在系統(tǒng)之間傳輸數(shù)據(jù)。
■ 攻擊 攻擊者常常使用各種各樣的工具或是腳本對(duì)本地或是遠(yuǎn)程系統(tǒng)進(jìn)行攻擊。攻擊者想要達(dá)到各種各樣的目的,包括危害系統(tǒng)或是發(fā)動(dòng)DoS攻擊。
實(shí)際上,攻擊者工具包中的攻擊工具作用兩面的,關(guān)鍵是使用它們的人。譬如,信息包嗅探器和協(xié)議分析器經(jīng)常為網(wǎng)絡(luò)管理員所用尋找網(wǎng)絡(luò)通訊問(wèn)題,也可以為攻擊者所用竊聽(tīng)私人通訊。上網(wǎng)管理人員可以利用密碼破解器測(cè)試系統(tǒng)密碼的強(qiáng)度。還有些工具內(nèi)置到操作系統(tǒng)中作為診斷或是管理工具。因此,上述工具的出現(xiàn)并不一定意味著風(fēng)險(xiǎn)的發(fā)生。
2.8 非惡意軟件威脅
主要討論兩種形式的與惡意軟件相關(guān)的非惡意軟件風(fēng)險(xiǎn)。第一是網(wǎng)絡(luò)釣魚(yú);第二是病毒欺騙#p#副標(biāo)題#e#
2.8.1 網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)指的是利用欺騙性的基于計(jì)算機(jī)的方式引誘個(gè)人透露敏感的個(gè)人信息。為了執(zhí)行網(wǎng)絡(luò)釣魚(yú)攻擊,攻擊者首先需要建立一個(gè)與知名企業(yè)類(lèi)似的網(wǎng)站或是假冒知名企業(yè)的郵件,譬如網(wǎng)上購(gòu)物網(wǎng)站,信用卡發(fā)行機(jī)關(guān)或是金融機(jī)構(gòu)。這些假冒的網(wǎng)站和郵件就是為了欺騙用戶透露個(gè)人數(shù)據(jù),特別是金融信息。譬如,網(wǎng)絡(luò)釣魚(yú)者搜尋網(wǎng)上銀行的用戶名和密碼,還有銀行賬號(hào)。
網(wǎng)絡(luò)釣魚(yú)助長(zhǎng)了很多犯罪行為,包括身份盜取和欺騙。在用戶系統(tǒng)上安裝惡意軟件。常見(jiàn)的安裝惡意軟件的網(wǎng)絡(luò)釣魚(yú)包括假冒的廣告促銷(xiāo)和網(wǎng)絡(luò)上的彈出窗口。用戶一不小心點(diǎn)擊了這些東西的話,估計(jì)鍵盤(pán)記錄器就已經(jīng)安裝的到系統(tǒng)了。這些都會(huì)令用戶受傷。
2.8.2 病毒欺騙
正如其字面意思所指,病毒欺騙就是錯(cuò)誤的病毒警告。這些錯(cuò)誤的病毒一般被描述成破壞性極大,并且需要馬上采取保護(hù)措施。大多數(shù)使用電子郵件發(fā)送的病毒警報(bào)都是騙人的。病毒欺騙影響時(shí)間時(shí)間長(zhǎng),因?yàn)槭盏洁]件的用戶都會(huì)轉(zhuǎn)發(fā)給別人提高警惕。盡管病毒欺騙很少造成破壞,但是有一些病毒欺騙知道用戶修改操作系統(tǒng)設(shè)置或是刪除正常文件導(dǎo)致安全和操作問(wèn)題。病毒欺騙還會(huì)消耗企業(yè)的精力,因?yàn)楹芏鄦T工收到這類(lèi)郵件之后會(huì)向技術(shù)部門(mén)報(bào)告,尋求技術(shù)支持或是提醒他們。很出名的病毒欺騙是Good Times(好日子)
2.9 總結(jié)
惡意軟件已然成為絕大多數(shù)系統(tǒng)最大的外部威脅,給企業(yè)和個(gè)人帶來(lái)了巨大的損失。要小心防范。在第三部分中,我們將詳細(xì)介紹。
三.惡意軟件事件防范
惡意軟件防范的四個(gè)組成部分是政策,警惕性,漏洞處置和威脅處理。確保處置風(fēng)險(xiǎn)的政策是執(zhí)行防范控制的基礎(chǔ)。建立和管理用戶對(duì)于惡意軟件的警惕計(jì)劃,對(duì)于那些直接與惡意軟件打交道的IT人員加強(qiáng)警惕性培訓(xùn),這些都是減少人為失誤的重要因素。在漏洞處置上花費(fèi)時(shí)間是減少攻擊的重要因素。部署威脅處置技術(shù)和工具,譬如說(shuō)殺毒軟件和防火墻,能夠成功地阻止對(duì)系統(tǒng)和網(wǎng)絡(luò)的攻擊。
一旦規(guī)劃了惡意軟件防范方法,企業(yè)就應(yīng)該做到對(duì)當(dāng)前和將來(lái)一段時(shí)間的攻擊因素做到心中有數(shù)。他們應(yīng)該知道系統(tǒng)的控制性能,因?yàn)檫@與防范方法的有效性有很大的相關(guān)性。除此之外,企業(yè)還應(yīng)該組合當(dāng)前的防范措施,譬如殺毒軟件部署和補(bǔ)丁管理,融入到惡意軟件的防范措施中。盡管如此,企業(yè)應(yīng)該意識(shí)到,不管在惡意軟件的防范上付出多少努力,最終還是會(huì)發(fā)生狀況。正所謂百密終有一疏。
3.1 安全政策
企業(yè)需要有相應(yīng)的政策防范惡意軟件事件。這些政策應(yīng)該作為額外的惡意軟件防范措施的基礎(chǔ)(警惕性,漏洞處置和風(fēng)險(xiǎn)處置)。如果企業(yè)不能在安全政策中清晰地表述惡意軟件防范需要考慮的事項(xiàng),那么要想實(shí)現(xiàn)惡意軟件防范的連貫性和有效性就是空談。惡意軟件防范相關(guān)的政策要有較大的靈活性以便減少修改的必要,但是同時(shí)在關(guān)鍵措施上也要足夠詳細(xì)。盡管一些企業(yè)有單獨(dú)的惡意軟件相關(guān)的政策,但是很多是包含在其它措施之中的,因此現(xiàn)行的安全政策有些可以借用相關(guān)的內(nèi)容。惡意軟件防范也要把遠(yuǎn)程工作地員工納入到考慮范圍。
一般的惡意軟件防范政策考慮的因素包括如下幾個(gè)方面:
■ 郵件附件包括壓縮文件在打開(kāi)之前進(jìn)行殺毒掃描
■ 禁止使用電子郵件收發(fā)某些文
■ 禁止使用不必要的軟件,譬如說(shuō)那些經(jīng)常傳播惡意軟件的應(yīng)用程序(即時(shí)通訊軟件,桌面搜索引擎,點(diǎn)對(duì)點(diǎn)的文件共享軟件),禁止使用公司已經(jīng)提供的服務(wù)之外的相似軟件,譬如說(shuō)電子郵件功能。
■ 限制用戶的管理員權(quán)限,這樣防止用戶通過(guò)使用管理員權(quán)限傳播惡意軟件
■ 操作系統(tǒng)和應(yīng)用程序的實(shí)時(shí)更新和下載補(bǔ)丁
■ 限制移動(dòng)媒介的使用,軟盤(pán),CD,USB接口閃存的使用
■ 對(duì)癥下藥。不同的系統(tǒng)(文件服務(wù)器,電子油價(jià)服務(wù)器,代理服務(wù)器,主機(jī),PDA)使用不同的防范軟件(殺毒軟件,間諜軟件檢測(cè)和移除工具)。保證軟件的實(shí)時(shí)更新。
■ 使用企業(yè)允許的和安全機(jī)制訪問(wèn)外部網(wǎng)絡(luò)
■ 防火墻設(shè)置的修改需要通過(guò)正式的程序
■ 限制移動(dòng)設(shè)備在信任網(wǎng)絡(luò)上的使用
3.2 警惕性
一個(gè)行之有效的警惕性計(jì)劃規(guī)定了用戶使用企業(yè)IT系統(tǒng)和信息的行為規(guī)范。相應(yīng)地,警惕性計(jì)劃應(yīng)該包括對(duì)惡意軟件事件防范的指導(dǎo),這可以減少惡意軟件事件的頻度和危害性。企業(yè)中的所有用戶都應(yīng)該知曉惡意軟件入侵,感染,和在系統(tǒng)中傳播的渠道;惡意軟件造成的風(fēng)險(xiǎn);惡意軟件按防范技術(shù)的短板;用戶在惡意軟件防范中的重要性。警惕性教育要考慮不同系統(tǒng)環(huán)境的不同特征,譬如說(shuō)那些出差的員工。除此之外,警惕性教育計(jì)劃還應(yīng)該滲透上面討論的安全政策中的一些政策。以下列舉數(shù)例考慮的因素:
■ 不要隨意下載可疑的郵件附件
■ 不要點(diǎn)擊可疑的網(wǎng)站漂浮圖表
■ 不要點(diǎn)擊可能包含惡意內(nèi)容的網(wǎng)站連接
■ 不要要打開(kāi).bat,.com,.exe,.pif,.vbs,等后綴名的文件,因?yàn)樗鼈兂3Ec惡意軟件相關(guān)
■ 不要禁止附加的安全控制機(jī)制
■ 不要在例行的系統(tǒng)操作中使用管理員賬號(hào)
■ 不要下載或執(zhí)行來(lái)自于非信任網(wǎng)站上的程序
總之,企業(yè)應(yīng)該保證用戶了解惡意軟件處理的政策和程序,包括怎么樣確認(rèn)系統(tǒng)已被感染,怎么樣報(bào)告可疑的感染,用戶在風(fēng)險(xiǎn)處理中可以做些什么(升級(jí)殺毒軟件,掃描系統(tǒng)中的惡意軟件)。用戶應(yīng)該知道在發(fā)生風(fēng)險(xiǎn)之后怎么樣通過(guò)可信任的渠道報(bào)告。用戶還要知道一些簡(jiǎn)單的處置風(fēng)險(xiǎn)方法,譬如斷開(kāi)受感染系統(tǒng)的網(wǎng)絡(luò),阻止某些郵件附件
作為警惕性教育的一部分,企業(yè)要教育用戶明了犯罪分子常用的欺騙伎倆。還有一些常用的應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的建議:
■ 不要回復(fù)詢(xún)問(wèn)金融信息和個(gè)人信息的郵件。企業(yè)最好也不要使用電子郵件詢(xún)問(wèn)這些信息,因?yàn)殡娮余]件很可能會(huì)被未經(jīng)授權(quán)的第三方監(jiān)視。你可以電詢(xún)企業(yè)的電話或是訪問(wèn)其官方網(wǎng)站。千萬(wàn)不要使用電子郵件中提供的聯(lián)系信息。
■ 不要在電子郵件中回復(fù)密碼,PIN(個(gè)人身份號(hào)碼)碼或是其他代碼。一定要訪問(wèn)企業(yè)的官方網(wǎng)站。
■ 不要打開(kāi)可疑的電子郵件附件。如果收到這樣的附件,與發(fā)件人聯(lián)系確認(rèn)。
■ 不要回復(fù)任何可疑的郵件。直接將其移到黑名單中。
盡管用戶警惕性教育會(huì)減少惡意軟件事件發(fā)生的頻度和危害性,但是其作用與漏洞的技術(shù)控制和風(fēng)險(xiǎn)處置相比還是很小的。企業(yè)不能僅僅借此來(lái)防范惡意軟件,它只能作為技術(shù)手段的一種補(bǔ)充。
不管怎么說(shuō),企業(yè)IT人員都應(yīng)該對(duì)惡意軟件防范有一些基本的常識(shí),對(duì)其它員工的教育應(yīng)該讓他們知道其責(zé)任以及在惡意軟件按防范中做些什么。除此之外,企業(yè)IT管理人員需要檢查新的安全威脅,評(píng)估可能造成的風(fēng)險(xiǎn),采取防范措施。
3.3 漏洞處置
一般來(lái)說(shuō),惡意軟件攻擊操作系統(tǒng),服務(wù)和應(yīng)用程序的套路就是利用其漏洞。于是乎,漏洞的處理就成為了惡意軟件事故防范中關(guān)鍵的一環(huán),特別是新的漏洞發(fā)現(xiàn)之后的惡意軟件,甚至在漏洞廣為人知之前就發(fā)生了惡意軟件事故。通過(guò)采取綜合的防控措施可以有效地處理漏洞,譬如說(shuō),升級(jí)軟件按,或是重新配置軟件(禁止有漏洞的服務(wù)等等)。
由于當(dāng)前漏洞處置面臨的一些挑戰(zhàn),包括處理不斷發(fā)現(xiàn)的新漏洞,企業(yè)應(yīng)該有記錄在案的處理風(fēng)險(xiǎn)的政策,流程,以及建立新的漏洞管理程序。還有需要不斷評(píng)估漏洞以便確定風(fēng)險(xiǎn)處理的優(yōu)先順序。企業(yè)要通過(guò)各種渠道搜集關(guān)于新的漏洞和主要惡意軟件的信息,譬如說(shuō)事故響應(yīng)小組,安全廠商的公告,以及殺毒軟件廠商的惡意軟件咨詢(xún)。企業(yè)還需要建立評(píng)估新的漏洞和威脅的機(jī)制,藉此確定恰當(dāng)?shù)奶幹梅椒ǎ研畔⒎植嫉讲煌牟块T(mén)。企業(yè)還需要跟蹤風(fēng)險(xiǎn)處置的進(jìn)程。
企業(yè)在風(fēng)險(xiǎn)處置中應(yīng)該使用多層放防御策略,因?yàn)閱我坏姆婪洞胧┖茈y應(yīng)對(duì)絕大多數(shù)的漏洞。后面我們將詳細(xì)討論三種常用的漏洞處置辦法——漏洞管理,最少權(quán)限和其它的主機(jī)加強(qiáng)方法。除了漏洞處置之外,企業(yè)還需要執(zhí)行威脅處置行動(dòng),主要是防止惡意軟件有利用漏洞的可能性。殺毒軟件等一些安全工具在惡意軟件未達(dá)到目標(biāo)之前除之。威脅處置對(duì)于不利用漏洞的惡意軟件事件處置很重要,譬如說(shuō)引誘用戶運(yùn)行惡意文件。威脅處置對(duì)于企業(yè)在面臨新的安全威脅的情形下也是很重要的,而企業(yè)卻沒(méi)有可行的漏洞處置方案。譬如說(shuō),對(duì)于新的漏洞還沒(méi)有補(bǔ)丁出現(xiàn)。以下我們將詳解:
3.3.1 補(bǔ)丁管理
對(duì)于處理操作系統(tǒng)和應(yīng)用程序中已知漏洞的最常見(jiàn)的方法就是系統(tǒng)。一般說(shuō)來(lái),補(bǔ)丁包括以下幾步,評(píng)估補(bǔ)丁的緊急性,測(cè)試補(bǔ)丁,在小范圍之內(nèi)實(shí)驗(yàn)補(bǔ)丁,記錄補(bǔ)丁評(píng)估和決策過(guò)程。現(xiàn)在來(lái)說(shuō),對(duì)于補(bǔ)丁時(shí)效性的要求是一大挑戰(zhàn)——目前從漏洞的發(fā)布到出現(xiàn)漏洞攻擊軟件的時(shí)間已從數(shù)月減少到數(shù)星期,甚至是一天。由于補(bǔ)丁的測(cè)試通常需要花費(fèi)數(shù)周的時(shí)間,這就意味著不可能馬上就大范圍部署補(bǔ)丁。在有些情況下,使用其它的漏洞處置或是威脅處理技術(shù)比使用補(bǔ)丁更加安全。除此之外,即使補(bǔ)丁經(jīng)過(guò)測(cè)試完全可行,我們也不敢保證所有的計(jì)算機(jī)安裝了補(bǔ)丁,特別是遠(yuǎn)程系統(tǒng)上。盡管如此,使用補(bǔ)丁依然是減少惡意軟件風(fēng)險(xiǎn)最有效的方法。惡意軟件事件頻發(fā)的一個(gè)原因就是沒(méi)有及時(shí)安裝補(bǔ)丁。補(bǔ)丁管理也是事故處置的關(guān)鍵。
3.3.2 最少權(quán)限
最少權(quán)限的準(zhǔn)則就是按需分配,各取所需。管理權(quán)限的分配應(yīng)該視需要而定。為什么說(shuō)最少權(quán)限在防止惡意軟件事件中很有效呢? 因?yàn)閻阂廛浖3P枰芾韱T權(quán)限成功地利用漏洞。一旦惡意軟件事件真的發(fā)生,先前的擁有最少權(quán)限的程序造成的損失也是最少的。最少權(quán)限管理可以在服務(wù)器,網(wǎng)絡(luò)設(shè)備,以及用戶的臺(tái)式機(jī)和筆記本上使用。但是,最少權(quán)限會(huì)消耗掉大量系統(tǒng)資源;譬如說(shuō),用戶在未經(jīng)管理員允許的情況下,能安裝操作系統(tǒng)升級(jí)。
3.3.3 其它主機(jī)加強(qiáng)措施
除了使用補(bǔ)丁和最少權(quán)限原則之外,企業(yè)還需要使用其他一些主機(jī)加強(qiáng)措施減少惡意軟件事件發(fā)生的可能性。
■ 禁止或是移除可能導(dǎo)致漏洞的不需要的網(wǎng)絡(luò)服務(wù)
■ 減少不安全的文件共享,文件共享很容易導(dǎo)致蠕蟲(chóng)的傳播
■ 刪除或是更山操作系統(tǒng)等默認(rèn)的用戶名和密碼,惡意軟件可以借此獲得未經(jīng)授權(quán)的訪問(wèn)
■ 訪問(wèn)網(wǎng)絡(luò)需要獲得授權(quán)
■ 禁止腳本自動(dòng)運(yùn)行
企業(yè)還要考慮使用操作系統(tǒng)和程序配置指導(dǎo)幫助管理員持久和有效地保護(hù)主機(jī)的安全。配置指導(dǎo)一般包括推薦配置提高默認(rèn)安全層級(jí)。或是手把手教你保護(hù)系統(tǒng)安全的指導(dǎo)。企業(yè)需要有規(guī)律地進(jìn)行風(fēng)險(xiǎn)評(píng)估找出系統(tǒng)中未處置的安全風(fēng)險(xiǎn),然后加以處理。即使系統(tǒng)上所有的已知漏洞都得到了處理,周期性的風(fēng)險(xiǎn)處理仍然是必要的,因?yàn)樵谄綍r(shí)的不恰當(dāng)?shù)南到y(tǒng)管理和操作活動(dòng)中會(huì)破壞一些安全措施。譬如說(shuō),在安裝補(bǔ)丁的時(shí)候,可能會(huì)一不小心刪掉其他補(bǔ)丁或是更改安全設(shè)置。
3.4威脅處置
我們主要討論幾種常見(jiàn)的處置惡意軟件風(fēng)險(xiǎn)的安全工具:殺毒軟件,間諜軟件探測(cè)和刪除工具,入侵防御系統(tǒng)(IPS),防火墻和路由器。對(duì)于每一種軟件,我們會(huì)介紹其典型功能,針對(duì)的惡意軟件,檢測(cè)和處理惡意軟件的方法。以及關(guān)于這些軟件的推薦,指導(dǎo),軟件的缺點(diǎn)。
3.4.1 殺毒軟件
殺毒軟件是最常見(jiàn)的對(duì)付惡意軟件的方法。對(duì)于經(jīng)常被惡意軟件光顧的系統(tǒng)來(lái)說(shuō),殺毒軟件顯然是必備的。殺毒軟件有很多種,大多數(shù)的殺毒軟件都提供以下功能:
■ 掃描關(guān)鍵系統(tǒng)區(qū)域,諸如啟動(dòng)文件和啟動(dòng)記錄
■ 實(shí)時(shí)監(jiān)視系統(tǒng)活動(dòng)檢查可疑行為,典型的就是掃描電子郵件附件中的已知病毒,殺毒軟件實(shí)時(shí)掃描文件的下載,打開(kāi)和執(zhí)行,這被稱(chēng)作“訪問(wèn)時(shí)掃描”。
■ 監(jiān)控常見(jiàn)程序行為,譬如說(shuō)電子郵件客戶端,瀏覽器,文件傳輸程序,即時(shí)通訊軟件。殺毒軟件還會(huì)監(jiān)視那些可能被利用的高風(fēng)險(xiǎn)軟件。
■ 掃描文件中的已知病毒。殺毒軟件周期性地掃描硬盤(pán)尋找被感染的文件。必要的情況下還可以人工掃描,這被稱(chēng)作“定制掃描”。
■ 確認(rèn)常見(jiàn)的惡意軟件—病毒,蠕蟲(chóng),木馬,惡意的移動(dòng)代碼和混合攻擊,以及鍵盤(pán)記錄器和后門(mén)程序等黑客工具包。絕大多數(shù)的殺毒軟件都新增了檢測(cè)間諜軟件的功能。
■ 防止文件的感染,指的是在一個(gè)文件夾中刪除惡意軟件,或是隔離惡意軟件。隔離感染文件是常用的方法,但是有一些感染的文件不能被隔離。這時(shí)候,就只能直接刪除感染文件了
以下從3.4.1.1到3.4.1.4主要介紹殺毒軟件配置,管理等方面的一些內(nèi)容,以及殺毒軟件的缺陷。
3.4.1.1 殺毒軟件檢測(cè)的準(zhǔn)確性
殺毒軟件主要是依據(jù)已知的惡意軟件特征尋找惡意軟件。這些特征叫做特征庫(kù)。對(duì)于尋找已知的惡意軟件和確認(rèn)已知病毒變體,特征庫(kù)非常有效的。主要的殺毒軟件廠商一般都會(huì)在數(shù)小時(shí)之內(nèi)分析新的病毒的特征,然后編寫(xiě)特征,測(cè)試,最后發(fā)布病毒特征。
由于特征庫(kù)依據(jù)的是已知的威脅,對(duì)于全新的惡意軟件很難確認(rèn)。為了解決這一問(wèn)題,殺毒軟件廠商使用了啟發(fā)式殺毒技術(shù),這種技術(shù)就是通過(guò)檢查大量文件特征尋找惡意軟件活動(dòng)。常見(jiàn)的啟發(fā)式殺毒技術(shù)包括,尋找文件中的可疑代碼順序和或是模擬文件行為尋找異常現(xiàn)象(譬如,在虛擬環(huán)境中執(zhí)行文件,然后監(jiān)視其行為)。不幸的是,啟發(fā)式殺毒經(jīng)常誤判,這叫做“假陽(yáng)性”。由于假陽(yáng)性會(huì)給企業(yè)帶來(lái)很大的不便,所以絕大多數(shù)的殺毒軟件產(chǎn)品將啟發(fā)式殺毒設(shè)為中等或是低。采用這種方式確實(shí)減少了假陽(yáng)性的發(fā)生,但同時(shí)也增加了忽略惡意軟件的可能性。這被稱(chēng)作“假陰性”。不管使用什么樣的啟發(fā)式殺毒技術(shù),殺毒軟件探測(cè)新威脅的準(zhǔn)確率不可能太高,但是病毒庫(kù)實(shí)時(shí)升級(jí)后,檢測(cè)已知惡意軟件的成功率還是很高的。所以,殺毒軟件應(yīng)該升級(jí)到最新的病毒庫(kù)以便提高準(zhǔn)確率。
3.4.1.2 殺毒軟件配置和管理
鑒于殺毒軟件對(duì)于惡意軟件防范的重要性,權(quán)威機(jī)構(gòu)強(qiáng)烈建議所有的系統(tǒng)上都要使用殺毒軟件。在安裝操作系統(tǒng)之后,應(yīng)該立馬配置殺毒軟件并且升級(jí)到最新的病毒庫(kù)。然后使用殺毒軟件掃描系統(tǒng)找出潛在的威脅。為了保證系統(tǒng)的持續(xù)安全,應(yīng)該管理好殺毒軟件以便持續(xù)有效地檢測(cè)和阻止惡意軟件。
在一個(gè)管理良好的環(huán)境中,企業(yè)應(yīng)該使用中央管理殺毒軟件。一般來(lái)說(shuō),在這種環(huán)境下,個(gè)人不允許阻止和刪除殺毒軟件,也不允許更改關(guān)鍵設(shè)置。殺毒軟件管理員要定期檢查殺毒軟件,確保用戶使用殺毒軟件以及其更新。這些信息也可以從中央管理殺毒軟件上獲取,企業(yè)可以使用系統(tǒng)掃描,網(wǎng)絡(luò)登錄時(shí)的系統(tǒng)檢測(cè),和其它方法搜集信息。執(zhí)行上述建議有助于企業(yè)建立一個(gè)部署完善,行之有效的殺毒軟件。
在一個(gè)管理不夠嚴(yán)密的網(wǎng)絡(luò)環(huán)境中,特別是在那些用戶擁有個(gè)人系統(tǒng)管理權(quán)限的企業(yè)中,殺毒軟件的管理就不那么連貫了。當(dāng)面臨這種情況的時(shí)候,企業(yè)就需要逐漸向管理嚴(yán)格的網(wǎng)路環(huán)境中轉(zhuǎn)變。特別是要加強(qiáng)警惕性教育。企業(yè)要定期發(fā)送信息提醒本地系統(tǒng)管理員和用戶升級(jí)病毒庫(kù);提醒用戶升級(jí)軟件的重要性;發(fā)布升級(jí)系統(tǒng)指導(dǎo)書(shū);出現(xiàn)新的威脅時(shí),提醒本地系統(tǒng)管理人員升級(jí)殺毒軟件;企業(yè)要鼓勵(lì)系統(tǒng)管理員和員工經(jīng)常升級(jí)病毒庫(kù),下載更新
使用中央管理殺毒軟件的企業(yè)應(yīng)該確保其執(zhí)行有充分的冗余滿足峰值。譬如說(shuō),企業(yè)應(yīng)該有多臺(tái)殺毒軟件服務(wù)器管理殺毒軟件客戶端軟件和分布更新。如果可能的話,使用多臺(tái)無(wú)關(guān)的操作系統(tǒng)平臺(tái)為殺毒軟件服務(wù),以此來(lái)減少單一攻擊針對(duì)殺毒軟件服務(wù)器造成的全局性傷害。企業(yè)使用的殺毒軟件操作系統(tǒng)平臺(tái)與其他服務(wù)器操作平臺(tái)最好是不一樣。如果某個(gè)漏洞影響了絕大多數(shù)的服務(wù)器,以及殺毒軟件服務(wù)器,那么很可能導(dǎo)致殺毒軟件服務(wù)器的崩盤(pán)。
另外一個(gè)加強(qiáng)惡意軟件防范的方法就是在關(guān)鍵系統(tǒng),譬如電子郵件服務(wù)器上,使用多種殺毒軟件產(chǎn)品。例如,有的殺毒軟件廠商發(fā)布病毒庫(kù)的時(shí)間比其它廠商早;還有一種可能性就是如果使用的一款殺毒軟件產(chǎn)品本身有漏洞的話,替代的殺毒軟件可以繼續(xù)提供有效的保護(hù)。由于在同一系統(tǒng)中同時(shí)使用多款殺毒軟件,可能會(huì)導(dǎo)致產(chǎn)品之間的沖突,要想同時(shí)使用多款產(chǎn)品,它們應(yīng)該安裝在不同的系統(tǒng)中。譬如說(shuō),殺毒軟件可以在內(nèi)外兩個(gè)郵件服務(wù)器上使用。這樣可以更加有效地探測(cè)新的威脅,但是同時(shí)也會(huì)增加培訓(xùn)管理費(fèi),以及額外的軟硬件花費(fèi)。
3.4.1.3 殺毒軟件的缺陷
盡管殺毒軟件是防范惡意軟件必須的工具,但是這并不意味著殺毒軟件可以防止所有的惡意軟件。正如前面所討論的那樣,殺毒軟件在查殺未知惡意軟件的表現(xiàn)不盡人意。一旦發(fā)現(xiàn)新的威脅,就應(yīng)該馬山有相應(yīng)的病毒庫(kù)。然而,安全廠商需要時(shí)間獲取,測(cè)試和發(fā)布病毒庫(kù)。病毒特征的測(cè)試很重要,因?yàn)椴《咎卣骺赡軙?huì)導(dǎo)致殺毒軟件或是操作系統(tǒng)的沖突,或是其它系統(tǒng)和程序之間的沖突。即使是在最好的情況下,從威脅的確認(rèn)到新的病毒庫(kù)的發(fā)布也需要數(shù)小時(shí)的時(shí)間,這段時(shí)間正是病毒發(fā)動(dòng)攻擊的窗口時(shí)間。此外,病毒庫(kù)的發(fā)布也需要大量的時(shí)間;殺毒軟件服務(wù)器和網(wǎng)絡(luò)不可能同時(shí)處理所有的升級(jí)請(qǐng)求。那些沒(méi)有聯(lián)網(wǎng)的系統(tǒng)不能升級(jí),很可能淪為攻擊的對(duì)象(使用移動(dòng)媒介傳播的惡意軟件)。
殺毒軟件的另外一個(gè)挑戰(zhàn)就是惡意軟件傳播渠道很多,包括各種各樣的網(wǎng)絡(luò)協(xié)議的服務(wù)(電子郵件,文件傳輸,點(diǎn)對(duì)點(diǎn)文件共享,網(wǎng)頁(yè)瀏覽,聊天室和即時(shí)通訊軟件),還有移動(dòng)媒介(CD,軟盤(pán)和閃存)。企業(yè)需要使用基于主機(jī)和基于網(wǎng)絡(luò)的殺毒軟件掃描(從防火墻和電子郵件服務(wù)器),這樣的話就可以發(fā)現(xiàn)那些試圖通過(guò)防火墻和防火墻之后的主機(jī)發(fā)動(dòng)的攻擊。但是,現(xiàn)行的殺毒軟件很難監(jiān)視企業(yè)中所有系統(tǒng)的傳輸機(jī)制。譬如說(shuō),殺毒軟件可能不能分析有新的網(wǎng)絡(luò)協(xié)議,應(yīng)用程序參與的活動(dòng)。企業(yè)還要關(guān)注控制之外的系統(tǒng)訪問(wèn)網(wǎng)絡(luò),譬如說(shuō),員工在家里使用撥號(hào)連接或是VPN(虛擬個(gè)人網(wǎng)絡(luò))訪問(wèn)網(wǎng)絡(luò)或是合作伙伴訪問(wèn)網(wǎng)絡(luò)。這些外部系統(tǒng)可能已經(jīng)感染了惡意軟件,并且惡意軟件很可能借此網(wǎng)絡(luò)傳播。
3.4.2 間諜軟件檢測(cè)和刪除功能
間諜軟件檢測(cè)和刪除功能主要是用來(lái)檢測(cè)系統(tǒng)上的各種間諜軟件,然后隔離或是刪除間諜軟件文件。與殺毒軟件確認(rèn)惡意軟件不同的是,間諜軟件按檢測(cè)和刪除功能專(zhuān)門(mén)針對(duì)各種間諜軟件。現(xiàn)在,這種軟件在應(yīng)對(duì)間諜軟件方面比殺毒軟件做的好多了。防止間諜軟件很重要,不僅僅是因?yàn)殚g諜軟件侵犯了用戶的隱私,還因?yàn)樗?jīng)常導(dǎo)致系統(tǒng)功能上的問(wèn)題,譬如降低系統(tǒng)性能,導(dǎo)致程序的不穩(wěn)定。盡管有一些間諜軟件探測(cè)和刪除軟件只專(zhuān)門(mén)針對(duì)一種惡意軟件,譬如說(shuō)惡意的瀏覽器插件,但是絕大多數(shù)的還是能夠應(yīng)對(duì)很多間諜軟件的,譬如說(shuō):
■ 監(jiān)視很有可能被間諜軟件替代的應(yīng)用程序的活動(dòng),譬如說(shuō)瀏覽器和電子郵件服務(wù)器
■ 定時(shí)掃描文件,內(nèi)存和配置文件尋找間諜軟件
■ 確認(rèn)幾種形式的間諜軟件,包括惡意的移動(dòng)代碼,木馬和跟蹤cookies
■ 隔離和刪除間諜軟件文件
■ 監(jiān)視網(wǎng)絡(luò)驅(qū)動(dòng)器和Windows設(shè)置
■ 監(jiān)視開(kāi)機(jī)自動(dòng)運(yùn)行的的程序
■ 阻止間諜軟件常用的安裝伎倆,譬如,彈出窗口,跟蹤cookies,瀏覽器插件安裝和瀏覽器劫持
為了處理間諜軟件風(fēng)險(xiǎn),企業(yè)應(yīng)該使用間諜軟件探測(cè)和刪除軟件或是帶有這一功能的殺毒軟件。所有的系統(tǒng)上都需要使用這些軟件。
典型的間諜軟件探測(cè)和刪除軟件依賴(lài)于間諜軟件病毒庫(kù),這和殺毒軟件類(lèi)似。這些工具在辨別已知威脅及其變體上很有效,但是在確認(rèn)未知威脅上的能力有些失望。由于間諜軟件探測(cè)和刪除軟件依賴(lài)于病毒庫(kù),間諜軟件就需要及時(shí)地升級(jí)到最新的病毒庫(kù)。所以這種軟件應(yīng)該配合殺毒軟件的使用,雙劍合壁,方能戰(zhàn)無(wú)不勝。企業(yè)也需要使用多種間諜軟件探測(cè)和刪除軟件提高應(yīng)對(duì)間諜軟件安全風(fēng)險(xiǎn)的能力。
間諜軟件探測(cè)和刪除軟件最近才開(kāi)始提供中央管理和監(jiān)視功能。還有一些軟件不能提供自動(dòng)升級(jí),而需要用戶手動(dòng)升級(jí)。因此,如果企業(yè)選用間諜軟件探測(cè)和刪除軟件的時(shí)候,要知道其是如何分布,配置和管理的,以及如何監(jiān)視惡意軟件的發(fā)生。由于間諜軟件探測(cè)和刪除軟件有很多相似的特征,企業(yè)應(yīng)該同等重視這兩款產(chǎn)品。
3.4.3 入侵防御系統(tǒng)(IPS)
IPS使用信息包嗅探工具和網(wǎng)絡(luò)流量分析確認(rèn)和制止可疑行為。基于網(wǎng)絡(luò)的IPS產(chǎn)品是部署在內(nèi)線的(inline),也就是類(lèi)似網(wǎng)絡(luò)防火墻的功能。IPS接受信息包進(jìn)行分析,確定那些是允許的,然后放行這些信息包。基于網(wǎng)絡(luò)的IPS可以防禍亂于未萌。絕大多數(shù)的基于網(wǎng)絡(luò)的IPS使用多種方式分析網(wǎng)絡(luò),應(yīng)用程序協(xié)議,也就是說(shuō)它們通過(guò)尋找預(yù)期的攻擊行為確認(rèn)潛在的惡意活動(dòng)。
基于網(wǎng)絡(luò)的IPS產(chǎn)品被用來(lái)檢測(cè)除了惡意軟件之外的惡意行為,一般只能探測(cè)幾種默認(rèn)的惡意軟件,譬如最近的主要蠕蟲(chóng)病毒。盡管如此,一些IPS產(chǎn)品個(gè)性化程度很高,這樣就允許管理員在短時(shí)間之內(nèi)自己添加和部署病毒庫(kù)。盡管這樣做存在一定的風(fēng)險(xiǎn),譬如說(shuō)粗制亂造的病毒庫(kù)特征編寫(xiě)可能會(huì)導(dǎo)致假陽(yáng)性,但是自己編寫(xiě)的病毒庫(kù)特征會(huì)在廠商發(fā)布病毒特征的數(shù)小時(shí)之前阻止新的攻擊。基于網(wǎng)絡(luò)的IPS產(chǎn)品在阻止已知威脅上很有效,譬如網(wǎng)絡(luò)蠕蟲(chóng),電子郵件攜帶蠕蟲(chóng),和特征明顯的病毒。雖然其功能強(qiáng)大,但是卻無(wú)法阻止惡意的移動(dòng)代碼或木馬。基于網(wǎng)絡(luò)的IPS可以通過(guò)應(yīng)用程序協(xié)議分析檢測(cè)和阻止未知的網(wǎng)絡(luò)威脅。
有一種特制的基于網(wǎng)絡(luò)的IPS叫做DDoS攻擊處理軟件,它是利用異常網(wǎng)絡(luò)流量的確認(rèn)阻止攻擊。盡管這種產(chǎn)品最早是為了阻止針對(duì)企業(yè)的DDoS攻擊,但是也可以用來(lái)也可以用來(lái)確認(rèn)蠕蟲(chóng)活動(dòng)和其它形式的惡意軟件。DDoS攻擊處理軟件一般通過(guò)監(jiān)視正常的網(wǎng)絡(luò)流量工作,包括通訊協(xié)議,峰流量,等建立基線。如果惡意軟件導(dǎo)致了異常的網(wǎng)絡(luò)流量或是使用網(wǎng)絡(luò)或是非正常的應(yīng)用程序協(xié)議,DDoS攻擊處理軟件要能夠處理這些活動(dòng)。另外一個(gè)限制惡意軟件事件的方法就是配置網(wǎng)絡(luò)設(shè)備限制帶寬的最大數(shù)量。另外,一些網(wǎng)絡(luò)流量監(jiān)控軟件可以探測(cè)到異常的網(wǎng)絡(luò)行為。
基于主機(jī)的IPS產(chǎn)品與基于網(wǎng)絡(luò)的IPS在原則和目的上是相似的,除了基于主機(jī)的IPS產(chǎn)品監(jiān)視的是單一主機(jī)的特征和發(fā)生在主機(jī)之內(nèi)的事件。基于主機(jī)的IPS監(jiān)視的活動(dòng)包括網(wǎng)絡(luò)流量,系統(tǒng)日志,運(yùn)行的程序,文件訪問(wèn)和改變,協(xié)調(diào)和應(yīng)用程序配置的更改。基于主機(jī)的IPS產(chǎn)品一般使用多種方式確認(rèn)系統(tǒng)上的已知和未知攻擊。譬如。基于主機(jī)的IPS產(chǎn)品可以監(jiān)視試圖修改文件的行為,以此探測(cè)感染文件的病毒和嘗試替代文件的木馬。一旦基于主機(jī)的IPS產(chǎn)品監(jiān)視了主機(jī)的網(wǎng)絡(luò)流量,就會(huì)提供與基于網(wǎng)絡(luò)的IPS類(lèi)似的探測(cè)能力。
與殺毒軟件和間諜軟件探測(cè)刪除軟件類(lèi)似的是,基于網(wǎng)絡(luò)和基于主機(jī)的IPS產(chǎn)品可能會(huì)導(dǎo)致假陽(yáng)性和假陰性。IPS可以提供調(diào)試功能,借此可以提高探測(cè)的準(zhǔn)確性;這種調(diào)試的有效性視產(chǎn)品和環(huán)境而定。由于假陽(yáng)性可能會(huì)導(dǎo)致正常系統(tǒng)活動(dòng)的停滯,企業(yè)要考慮到這點(diǎn),采取有效措施防止假陽(yáng)性的發(fā)生。絕大多數(shù)的IPS產(chǎn)品都可以自行設(shè)置病毒庫(kù)限制。還有一些企業(yè)使用默認(rèn)設(shè)置禁止了絕大多數(shù)的限制,只有在面對(duì)新的主要風(fēng)險(xiǎn)的時(shí)候才會(huì)啟動(dòng)。
對(duì)于惡意軟件的防范來(lái)說(shuō),基于主機(jī)的IPS軟件可以提高企業(yè)在面臨未知風(fēng)險(xiǎn)時(shí)的安全系數(shù)。如果企業(yè)將IPS設(shè)置為高安全等級(jí)的話,在很大程度上就可以阻止殺毒軟件查殺不出的惡意軟件。IPS軟件在應(yīng)對(duì)網(wǎng)絡(luò)服務(wù)威脅上相比殺毒軟件具有很大的優(yōu)勢(shì)。
對(duì)于那些產(chǎn)生巨大流量的惡意軟件來(lái)說(shuō),譬如說(shuō)網(wǎng)絡(luò)服務(wù)病毒,部署在網(wǎng)絡(luò)中的基于主機(jī)的IPS產(chǎn)品有效減輕惡意軟件造成的網(wǎng)絡(luò)負(fù)擔(dān)。同時(shí)使用殺毒軟件和IPS不僅可以從整體上提高惡意軟件事件的防范能力,還可以減輕這兩種技術(shù)在應(yīng)對(duì)惡意軟件時(shí)的壓力。在一次嚴(yán)重的安全事件中,單一的殺毒軟件可能會(huì)由于惡意軟件過(guò)多導(dǎo)致過(guò)載;使用多種控制方法可以減輕負(fù)擔(dān)。
3.4.4 防火墻和路由器
基于網(wǎng)絡(luò)的設(shè)備,譬如說(shuō)防火墻和路由器,還有基于主機(jī)的防火墻,可以檢查網(wǎng)絡(luò)流量,并且根據(jù)一套規(guī)則禁止或是允許這些流量。典型的路由器使用一套名為訪問(wèn)控制清單(ACL)的簡(jiǎn)單規(guī)則,主要是針對(duì)最基本的網(wǎng)絡(luò)流量,而防火墻提供更多的選項(xiàng)。現(xiàn)在有兩種防火墻:網(wǎng)絡(luò)防火墻和基于主機(jī)的防火墻。網(wǎng)絡(luò)防火墻是指部署在網(wǎng)絡(luò)中限制網(wǎng)絡(luò)之間流量流通的設(shè)備。基于主機(jī)的防火墻是部署在單一主機(jī)中限制訪問(wèn)主機(jī)的入流和出流的軟件。這兩種防火墻在限制惡意軟件上都是很有效的。3.4.4.1和3.4.4.2中將介紹防火強(qiáng),3.4.4.3會(huì)簡(jiǎn)要介紹路由器。
3.4.4.1 網(wǎng)絡(luò)防火墻
一般說(shuō)來(lái),企業(yè)會(huì)在網(wǎng)絡(luò)中部署多種網(wǎng)絡(luò)防火墻保護(hù)網(wǎng)絡(luò)免于外部攻擊。網(wǎng)絡(luò)防火墻會(huì)把網(wǎng)絡(luò)流量和現(xiàn)行的規(guī)則比較,每一個(gè)規(guī)則對(duì)應(yīng)一種網(wǎng)絡(luò)協(xié)議,以及通訊的來(lái)源和終點(diǎn)。譬如說(shuō),有一條規(guī)則會(huì)允許外部郵件到達(dá)企業(yè)的電子郵件服務(wù)器。相應(yīng)地,網(wǎng)絡(luò)服務(wù)器在阻止針對(duì)特定端口的網(wǎng)絡(luò)服務(wù)蠕蟲(chóng)上表現(xiàn)不錯(cuò),特別是端口使用范圍不廣的時(shí)候。由于網(wǎng)絡(luò)防火墻既可以限制出流和入流,所以可以阻止蠕蟲(chóng)向外的傳播。
為了防止惡意軟件事件,企業(yè)要使用 默認(rèn)阻止 設(shè)置,也就是說(shuō)防火墻阻止所有未經(jīng)允許的出流和入流。如果使用了這一設(shè)置,惡意軟件就不能使用被認(rèn)為是不必要的程序傳播了。為了減少惡意軟件的傳播,企業(yè)必須嚴(yán)格限制外部系統(tǒng)(電訊系統(tǒng),合作伙伴系統(tǒng))發(fā)送過(guò)來(lái)的各種流量。企業(yè)要確保網(wǎng)絡(luò)防火墻可以執(zhí)行出流量和入流量過(guò)濾。入流過(guò)濾(ingress filtering)就是限制不適當(dāng)?shù)娜肓餍畔┤缯f(shuō)來(lái)自于錯(cuò)誤IP地址的信息;出流過(guò)濾(egress filtering)限制所有不應(yīng)該存在于系統(tǒng)中的出流信息包。蠕蟲(chóng)在傳播的時(shí)候會(huì)隨機(jī)產(chǎn)生IP地址,所以限制帶有錯(cuò)誤IP地址的信息包可以有效防止蠕蟲(chóng)進(jìn)入內(nèi)網(wǎng)。還有一點(diǎn)需要切記,實(shí)時(shí)檢查安全規(guī)則,調(diào)整其設(shè)置。
網(wǎng)絡(luò)防火墻本身并不尋找網(wǎng)絡(luò)通訊中的攻擊;但是,防火墻中使用額外的軟件可以實(shí)現(xiàn)。譬如說(shuō),許多防火墻使用入侵防范或是殺毒軟件尋找網(wǎng)絡(luò)通訊中的攻擊,電子郵件或是網(wǎng)站流量。還有一些防火墻具有代理功能,代理收到來(lái)自客戶機(jī)的請(qǐng)求,然后代表客戶機(jī)程序向目標(biāo)站點(diǎn)發(fā)出請(qǐng)求。一旦使用代理,每一次成功的連接實(shí)際上是有兩次不同的連接:首先是客戶機(jī)和防火墻之間,然后是防火墻和目標(biāo)站點(diǎn)之間。一些代理可以執(zhí)行基本的分析和網(wǎng)絡(luò)協(xié)議的確認(rèn),譬如HTTP(超文本傳輸協(xié)議),或是拒絕不確定的訪問(wèn)請(qǐng)求,因?yàn)檫@可能包括惡意軟件。這些代理被稱(chēng)作應(yīng)用程序?qū)蛹?jí)防火墻。
網(wǎng)絡(luò)防火墻在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)中使用廣泛,NAT是將一個(gè)網(wǎng)絡(luò)地址映射到另外一個(gè)網(wǎng)絡(luò)的過(guò)程。NAT主要是將內(nèi)網(wǎng)中的私人地址映射到聯(lián)網(wǎng)的網(wǎng)絡(luò)中的地址中。一旦私人地址通過(guò)NAT被映射到公網(wǎng)中,外部主機(jī)就不能直接訪問(wèn)內(nèi)部主機(jī),因?yàn)樗饺说刂凡皇峭ㄟ^(guò)因特網(wǎng)路由的。這中方式可以有效阻止網(wǎng)絡(luò)服務(wù)蠕蟲(chóng)。
一旦發(fā)生針對(duì)網(wǎng)絡(luò)服務(wù)的新的惡意軟件攻擊,企業(yè)需要使用防火墻阻止它,尤其是殺毒軟件和入侵檢測(cè)不能監(jiān)視目標(biāo)服務(wù)的時(shí)候。為了防范最壞的情況,企業(yè)要隨時(shí)準(zhǔn)備更改防火墻規(guī)則防止惡意軟件事件的發(fā)生。防火墻規(guī)則在阻止使用IP地址的惡意軟件也很有幫助,譬如說(shuō),從外部主機(jī)上下載木馬的蠕蟲(chóng),這時(shí),只要添加規(guī)則限制上述主機(jī)的IP地址,就可以阻止木馬的下載。
3.4.4.2 基于主機(jī)的防火墻
基于主機(jī)的防火墻可以有效限制單一主機(jī)上的出流和入流,這樣既可以防止主機(jī)的感染,也可以防止其傳播惡意軟件。服務(wù)器專(zhuān)用的基于主機(jī)的防火墻使用與網(wǎng)絡(luò)防火墻類(lèi)似的安全規(guī)則。臺(tái)式機(jī)和筆記本上使用的防火墻也使用相似的規(guī)則,但是絕大多數(shù)都是根據(jù)應(yīng)用程序清單允許或是限制網(wǎng)絡(luò)活動(dòng)。為了防范惡意軟件,企業(yè)可以把防火墻上設(shè)置默認(rèn)阻止入流量。如果可行的加,企業(yè)也可以默認(rèn)阻止出流量。但是,這些規(guī)則對(duì)于系統(tǒng)可用性和用戶滿意度有嚴(yán)重的負(fù)面影響。
除了根據(jù)規(guī)則限制網(wǎng)絡(luò)活動(dòng)之外,在基于主機(jī)的防火墻中可以集成殺毒軟件和入侵檢測(cè)功能,還有限制瀏覽器彈出窗口,限制移動(dòng)代碼,禁止cookies,防止網(wǎng)頁(yè)和郵件中的潛在隱私問(wèn)題。集成了這些功能的防火墻不僅在阻止惡意軟件上很有效,也會(huì)限制惡意軟件感染的傳播。譬如說(shuō),如果防火墻集成了殺毒軟件功能就可以監(jiān)視收發(fā)郵件上的海量郵件攻擊病毒,如果發(fā)現(xiàn)這些活動(dòng)就可以臨時(shí)阻斷郵件服務(wù)。基于主機(jī)的防火墻對(duì)于未受網(wǎng)絡(luò)防火墻保護(hù)的聯(lián)網(wǎng)的系統(tǒng)來(lái)說(shuō)相當(dāng)重要。如果是直接訪問(wèn)網(wǎng)絡(luò)的話,最好有基于主機(jī)的防火墻保護(hù)系統(tǒng)。
3.4.4.3 路由器
一般的防火墻使用多種方式限制入流量和出流量,路由器使用的是更加寬泛的規(guī)則。一個(gè)企業(yè)常常使用多臺(tái)路由器聯(lián)網(wǎng),這些叫做 網(wǎng)絡(luò)邊界路由器。這些路由器一般位于企業(yè)的主要防火墻前端,檢查一些基本的網(wǎng)絡(luò)活動(dòng),譬如說(shuō)入流和出流過(guò)濾。
在一個(gè)重大的蠕蟲(chóng)病毒事件中,企業(yè)需要重新配置路由器限制入流病毒活動(dòng),減輕防火墻的負(fù)擔(dān)。內(nèi)網(wǎng)上的路由器也需要重新配置限制網(wǎng)絡(luò)中的某些服務(wù);這可以一個(gè)網(wǎng)絡(luò)中感染的主機(jī)傳播病毒。一旦需要的時(shí)候,去企業(yè)要及時(shí)更改路由器ACL。
3.4.5 應(yīng)用程序設(shè)置
許多惡意軟件利用了常見(jiàn)的應(yīng)用程序,譬如說(shuō)電子郵件客戶端,瀏覽器和word處理器。這些程序的默認(rèn)設(shè)置中,功能性超過(guò)安全性。相應(yīng)地,企業(yè)需要考慮阻止不需要的功能,尤其是那些可能被惡意軟件使用的功能。以下提供一些建議:
■ 限制可疑的電子郵件附件。很多企業(yè)的郵件服務(wù)限制附件下載或是直接阻止帶有附件的郵件。這些后綴名的文件很可能被禁止,.txt.vbs, .htm.exe等等。但是在阻斷惡意郵件的同時(shí),也阻止了正常的郵件。有些企業(yè)直接替換可疑郵件附件的后綴名,在保存和運(yùn)行之前先重命名。
■ 過(guò)濾垃圾郵件。垃圾郵件常常用來(lái)傳播網(wǎng)絡(luò)釣魚(yú)和間諜軟件,有時(shí)也包括其它惡意軟件。使用垃圾郵件過(guò)濾器可以有效減少垃圾郵件,也就直接減少了由于垃圾郵件導(dǎo)致的事故。
■ 過(guò)濾網(wǎng)站內(nèi)容。盡管網(wǎng)站內(nèi)容過(guò)濾軟件是為了限制不恰當(dāng)?shù)貎?nèi)容進(jìn)入工作場(chǎng)所,也可以包括網(wǎng)絡(luò)釣魚(yú)站點(diǎn)和其它惡意站點(diǎn)清單。還可以限制一些使用危險(xiǎn)后綴名的文件。
■ 限制移動(dòng)代碼執(zhí)行。瀏覽器和電子郵件客戶端可以配置只允許某種移動(dòng)代碼(譬如,Java腳本,ActiveX等)和只能執(zhí)行特定地點(diǎn)的移動(dòng)代碼(譬如,內(nèi)網(wǎng)站點(diǎn))。這樣可以有效防止惡意代碼,但也會(huì)限制合法網(wǎng)站的功能。#p#副標(biāo)題#e#
■ 限制瀏覽器cookies。絕大多數(shù)的瀏覽器允許用戶自行設(shè)置接受或是禁止cookie。絕大多數(shù)的瀏覽器允許用戶自行設(shè)置訪問(wèn)站點(diǎn)的cookie。
■ 限制瀏覽器彈出窗口。有一些彈出的窗口看起來(lái)是合法的站點(diǎn),實(shí)際上卻是一些欺騙性站點(diǎn),譬如說(shuō)網(wǎng)絡(luò)釣魚(yú),修改系統(tǒng)設(shè)置
■ 限制瀏覽器安裝軟件。有一些瀏覽器允許用戶安裝瀏覽器插件等軟件。還有一些甚至限制從網(wǎng)站上安裝任意軟件到客戶端。這些對(duì)于防范惡意軟件安裝到瀏覽器上很有效。
■ 防止電子郵件照片自動(dòng)下載。絕大多數(shù)的電子郵件客戶端禁止自動(dòng)下載圖片。這對(duì)于防范基于電子郵件的網(wǎng)絡(luò)漏洞是很有用的。
■ 改變文件相關(guān)性。在許多操作系統(tǒng)中,打開(kāi)不同的文件要使用不同的程序,譬如說(shuō)打開(kāi).txt文檔使用文本編輯器。一旦用戶打開(kāi)某一文件的時(shí)候,操作系統(tǒng)就會(huì)打開(kāi)默認(rèn)的應(yīng)用程序。盡管這對(duì)用戶來(lái)說(shuō)是很方便,但是惡意軟件也可以因此而受益;譬如說(shuō),用戶在打開(kāi)郵件附件的時(shí)候,操作系統(tǒng)就會(huì)自動(dòng)運(yùn)行打開(kāi)附件。有一些企業(yè)替代了常用的惡意軟件利用的文件類(lèi)型,這樣用戶在打開(kāi)這些文件的時(shí)候也不會(huì)自動(dòng)運(yùn)行了。
■ 限制宏使用。在word和電子表格等應(yīng)用程序中經(jīng)常包含有宏語(yǔ)言。宏病毒正式利用了這點(diǎn)。現(xiàn)在絕大多數(shù)也能夠有宏功能的軟件都會(huì)提供宏安全措施,只有來(lái)自于信任站點(diǎn)的宏文檔才能運(yùn)行。
■ 禁止電子郵件的開(kāi)放傳播 海量郵件病毒把企業(yè)的電子郵件服務(wù)器作為開(kāi)放傳遞棒(open relays),也就是是說(shuō)發(fā)件人和收件人都不是企業(yè)的一部分。提供開(kāi)放傳遞棒的電子郵件服務(wù)器可能會(huì)讓海量郵件病毒輕輕松松得逞。
盡管這些程序設(shè)置在減少惡意軟件頻度上很有效,但是選擇合適的設(shè)置常常需要很大的努力。在多數(shù)情況下,配置安全性的提高就意味著功能性的下降。譬如說(shuō),禁止瀏覽器上的Java支持功能會(huì)阻止企業(yè)基于Java腳本運(yùn)行的應(yīng)用程序運(yùn)行。所以企業(yè)需要在安全性和功能性之間尋找到平衡點(diǎn)。企業(yè)要考慮到應(yīng)用程序的多樣性,譬如說(shuō),客戶端系統(tǒng)可能有安裝了多個(gè)瀏覽器版本,每一個(gè)又有不同的功能和配置設(shè)置。
在絕大多數(shù)的企業(yè)中,執(zhí)行和管理服務(wù)器上的應(yīng)用程序設(shè)置相對(duì)簡(jiǎn)單;但是要在客戶端做同樣的事情就很難了。在一個(gè)管理高度完善的環(huán)境中,集中管理應(yīng)用程序設(shè)置是可行的,但是在絕大多數(shù)的環(huán)境中并不可行。企業(yè)可以在新系統(tǒng)中執(zhí)行選項(xiàng)設(shè)置,但是不能確保這些設(shè)置隨著安全和功能的變化而變化。企業(yè)應(yīng)該考慮到如何保證應(yīng)用程序客戶端的執(zhí)行,管理,和檢查的有效。然而,在一個(gè)管理不夠嚴(yán)格的網(wǎng)絡(luò)環(huán)境中,企業(yè)就只能依賴(lài)于警惕性教育和用戶的自覺(jué)性了。
實(shí)際上,許多更改客戶端程序配置的好處通過(guò)使用基于主機(jī)的防火墻也可以實(shí)現(xiàn)。前面3.4.4.2已經(jīng)討論過(guò)。但是,基于主機(jī)的防火墻并不能執(zhí)行所有的程序設(shè)置,所以最有效的辦法是二者結(jié)合使用。
快速改變應(yīng)用程序設(shè)置對(duì)于制止新的威脅非常有效。譬如,如果現(xiàn)在出現(xiàn)了一種基于電子郵件的威脅,殺毒軟件對(duì)此無(wú)能為力。在這種情況下,企業(yè)就可以直接更改郵件服務(wù)器和客戶端設(shè)置刪除所有帶有新病毒特征的郵件。企業(yè)也需要提前考慮在出現(xiàn)哪些緊急事件的情況下更改設(shè)置。
3.5總結(jié)
企業(yè)應(yīng)該根據(jù)攻擊因素制定自身的惡意軟件事件防范方法。選擇惡意軟件防范產(chǎn)品的時(shí)候要選擇最適合企業(yè)的,只買(mǎi)對(duì)的,不選貴的。
作為惡意軟件防范努力的基石,企業(yè)應(yīng)該確保安全政策支持惡意軟件事件的防范。常見(jiàn)的與惡意軟件防范相關(guān)的政策有以下幾種:
■ 合理使用系統(tǒng)
■ 處理漏洞
■ 處理風(fēng)險(xiǎn)
與惡意軟件防范相關(guān)的政策應(yīng)該考慮到企業(yè)內(nèi)外的遠(yuǎn)程工作人員。
教育員工,讓他們知道惡意軟件傳播的方式,導(dǎo)致的風(fēng)險(xiǎn),技術(shù)措施的局限,用戶在防范惡意軟件中至關(guān)重要的地位。警惕性教育應(yīng)該讓用戶知道惡意軟件處置的政策和流程。與惡意軟件直接打交道的管理人員也要經(jīng)常進(jìn)行教育。
企業(yè)還需要把漏洞處置的政策,流程等記錄在案。因?yàn)閼?yīng)對(duì)漏洞的方式多樣,需要使用多種方式處置漏洞,譬如說(shuō)補(bǔ)丁管理和最少權(quán)限的同時(shí)使用。除此之外,還可以使用主機(jī)加強(qiáng)措施。
除了漏洞處置之外,企業(yè)需要使用風(fēng)險(xiǎn)處理探測(cè)和阻止惡意軟件。以下這些技術(shù)很有效:
■ 殺毒軟件
■ 基于網(wǎng)絡(luò)的IPS
■ 防火墻
■ 更改應(yīng)用程序配置
四.惡意軟件事件響應(yīng)
一般來(lái)說(shuō),惡意軟件事件響應(yīng)包括準(zhǔn)備活動(dòng),譬如說(shuō)開(kāi)發(fā)惡意軟件事件處理流程和響應(yīng)小組的培訓(xùn)。正如我們?cè)诘谌糠种兴懻摰模瑴?zhǔn)備階段包括使用安全政策,警惕性教育,漏洞處置,使用安全工具減少惡意軟件事件。盡管采取這些措施也不可能萬(wàn)無(wú)一失。因此,惡意軟件感染的探測(cè)對(duì)于事件發(fā)生的警告是必要的。對(duì)于惡意軟件的快速探測(cè)有助于防止事態(tài)的擴(kuò)大,探測(cè)速度越快,就越能減少感染系統(tǒng)的數(shù)量。
事件響應(yīng)周期 (準(zhǔn)備-探測(cè)和分析- 病毒抑制,刪除和恢復(fù)-后續(xù)處理)
對(duì)于每一次惡意軟件事件,企業(yè)都應(yīng)該根據(jù)事件的嚴(yán)重性恰當(dāng)?shù)靥幚恚┤缯f(shuō),抑制病毒,清除感染,最后完全恢復(fù)系統(tǒng)。如果企業(yè)有大量的系統(tǒng)被感染的時(shí)候,要實(shí)施上述措施將會(huì)非常困難。事件被成功處理之后,應(yīng)該把事件的起因,損失詳細(xì)記錄在案,以便企業(yè)下次在面臨這些風(fēng)險(xiǎn)的時(shí)候采取更加有效地措施。
盡管上述標(biāo)準(zhǔn)的處理惡意軟件的流程差不多,但是要應(yīng)對(duì)大規(guī)模的感染還是存在一些挑戰(zhàn)。我們將主要討論企業(yè)大規(guī)模惡意軟件事件的處理,但是這些指導(dǎo)對(duì)于小規(guī)模惡意軟件的處理也很有幫助。
4.1 準(zhǔn)備
對(duì)于企業(yè)來(lái)說(shuō),準(zhǔn)備多套時(shí)間響應(yīng)方案是應(yīng)對(duì)惡意軟件事件的基礎(chǔ)之一,如果沒(méi)有這些方案的話,事件處理將會(huì)變得異常困難。有一些企業(yè)由于產(chǎn)期遭受惡意軟件,除了一般的事件響應(yīng)小組之外,還有專(zhuān)門(mén)的事件響應(yīng)小組。由于惡意軟件在短時(shí)間之內(nèi)會(huì)給企業(yè)帶來(lái)很大的危害,企業(yè)制定的惡意軟件事件防范政策和規(guī)程要明確企業(yè)和個(gè)人的責(zé)任。定期的針對(duì)惡意軟件的培訓(xùn)和教育有助于員工明確責(zé)任,保證安全政策的有效性和綜合性。對(duì)于大規(guī)模惡意軟件事件的演練是大有裨益的,雖然很少發(fā)生,但是一旦發(fā)生后果不堪設(shè)想。
企業(yè)還需要采取其它防范措施響應(yīng)惡意軟件事件,以下4.1.1到4.1.3將推薦幾種防范措施,包括在應(yīng)急小組之內(nèi)構(gòu)建和維持惡意軟件相關(guān)的技術(shù),企業(yè)各個(gè)部門(mén)之間的溝通及合作,使用必要的工具和資源。
4.1.1 構(gòu)建和使用殺毒軟件相關(guān)的技術(shù)
除了標(biāo)準(zhǔn)的事件響應(yīng)小組技術(shù)之外,下面的一些知識(shí)在應(yīng)對(duì)惡意軟件事件時(shí)也是大有裨益的:
■ 惡意軟件感染方法 所有的惡意軟件事件處理人員都需要了解主要的惡意軟件感染系統(tǒng)的方式的傳播的手段
■ 惡意軟件探測(cè)工具 我們?cè)?.4中已經(jīng)討論過(guò),可以使用殺毒軟件,基于網(wǎng)絡(luò)和基于主機(jī)的入侵防御軟件,間諜軟件探測(cè)和刪除軟件,和其它工具都可以有效檢測(cè)惡意軟件。事件處理人員需要了解企業(yè)配置的這些工具,以便更好地分析支持?jǐn)?shù)據(jù)和確認(rèn)病毒特征。至少應(yīng)該熟悉企業(yè)的殺毒軟件。
■ 計(jì)算機(jī)取證(computer forensic) 企業(yè)需要有一些人員精通計(jì)算機(jī)取證工具和技術(shù)。這種技術(shù)在調(diào)查特別復(fù)雜的惡意軟件時(shí)是必須的,譬如說(shuō)rookit安裝。
■ 對(duì)于IT的廣博知識(shí)面 這種能力讓技術(shù)人員更好地評(píng)估惡意軟件風(fēng)險(xiǎn),以便為抑制,刪除病毒和系統(tǒng)恢復(fù)提出更好的建議。
■ 編程 小組中應(yīng)該要有熟練使用常見(jiàn)編程語(yǔ)言和宏語(yǔ)言的人員,這樣就可以幫助其它成員在短時(shí)間之內(nèi)了解病毒的行為特征和危害
除了進(jìn)行惡意軟件相關(guān)的培訓(xùn)和演練之外(4.1),企業(yè)還要尋找其他技術(shù)。譬如說(shuō),可以讓小組成員臨時(shí)作為殺毒軟件工程師或是管理員,這樣他們就可以獲取新的技術(shù),了解殺毒軟件工作程序。抑或是在漏洞管理小組中臨時(shí)工作,這樣可以加深他們對(duì)于系統(tǒng)漏洞探測(cè)和添加補(bǔ)丁的了解;
4.1.2 促進(jìn)企業(yè)之間的溝通和合作
在處理惡意軟件時(shí)最常見(jiàn)的問(wèn)題就是溝通不暢,信息缺乏交流。在一次事件中,我們常常會(huì)發(fā)現(xiàn),由于缺乏對(duì)形勢(shì)的了解,各個(gè)部門(mén),用戶之間產(chǎn)生誤解。為了解決溝通混亂和不及時(shí)的狀況,企業(yè)應(yīng)該事先成立專(zhuān)人或是專(zhuān)門(mén)小組負(fù)責(zé)溝通。溝通小組的首要目標(biāo)是搜集信息,作出對(duì)企業(yè)最有利的決策,將相關(guān)信息及時(shí)轉(zhuǎn)給有關(guān)部門(mén)。在惡意軟件事件中,相關(guān)的部門(mén)涵蓋了終端用戶,他們應(yīng)該學(xué)會(huì)如何避免系統(tǒng)的感染,如何辨別感染特征,系統(tǒng)感染之后采取的措施。溝通小組要給員工提供關(guān)于惡意軟件防范的一些指導(dǎo),及時(shí)向管理人員報(bào)告最新進(jìn)展。
由于大規(guī)模的惡意軟件事件常常破壞電子郵件服務(wù),內(nèi)部網(wǎng)絡(luò)站點(diǎn),Voip和其它通訊手段,因此企業(yè)需要有建立其它的溝通渠道保證危機(jī)處理人員,技術(shù)人員,管理層,和用戶之間暢通聯(lián)系。譬如,可以使用企業(yè)的電話系統(tǒng),手機(jī),傳呼機(jī),電子郵件,電報(bào)和紙質(zhì)文檔。即使是在正常情況下,使用不同的聯(lián)系方式聯(lián)系不同的對(duì)象也是很有效的(譬如,使用電子郵件與用戶溝通,關(guān)鍵的技術(shù)人員使用會(huì)議專(zhuān)線聯(lián)系)。我們將在4.3.1中討論用戶之間溝通的方式。
企業(yè)需要建立惡意軟件咨詢(xún)臺(tái),員工可以報(bào)告惡意軟件,尋求幫助等等,用戶發(fā)現(xiàn)惡意軟件之后,首先需要向咨詢(xún)臺(tái)報(bào)告。
4.1.3 獲取工具和資源
企業(yè)要確保有足夠的工具(硬件和軟件)和資源處理惡意軟件。典型的工具有,信息包嗅探器,協(xié)議分析器。在3.4中我們已經(jīng)討論過(guò)了惡意軟件,IPS等幾種軟件。常見(jiàn)的資源包括聯(lián)系名單和響應(yīng)信息,常用的端口數(shù)量,已知的關(guān)鍵資產(chǎn)。
下面介紹惡意軟件事件處理人員常用的工具:
惡意軟件事件分析硬件和軟件
■ 筆記本,提供分析數(shù)據(jù)和嗅探數(shù)據(jù)包的移動(dòng)工作站
■ 額外的工作站,服務(wù)器和網(wǎng)絡(luò)設(shè)備,在隔離的環(huán)境下測(cè)試惡意軟件
■ 空白的存儲(chǔ)媒介,譬如說(shuō)軟盤(pán),CD來(lái)存儲(chǔ)和傳輸惡意軟件樣本
■ 信息包嗅探器和協(xié)議分析器獲取和分析包含惡意活動(dòng)的流量
惡意軟件事件分析資源
■ 端口清單,包括常用的端口和已知的木馬和后門(mén)程序
■ 操作系統(tǒng),應(yīng)用程序,網(wǎng)絡(luò)協(xié)議以及病毒庫(kù)等的文件
■ 網(wǎng)絡(luò)流量圖和關(guān)鍵設(shè)備清單,譬如網(wǎng)絡(luò),電子郵件和FTP服務(wù)器
■ 預(yù)期網(wǎng)絡(luò),系統(tǒng)和應(yīng)用程序的基線
惡意軟件事件處置軟件
■ 媒介,操作系統(tǒng)根磁盤(pán),CD,操作系統(tǒng)媒介和應(yīng)用程序媒介
■ 安全補(bǔ)丁
■ 操作系統(tǒng),應(yīng)用程序等的磁盤(pán)圖像軟件和備份圖像
4.2探測(cè)
企業(yè)要具有快速探測(cè)惡意軟件事件的能力,因?yàn)楦腥緯?huì)在短時(shí)間之內(nèi)發(fā)生。探測(cè)越早就越能幫助企業(yè)將感染系統(tǒng)的數(shù)量降到最低,亦會(huì)隨之降低企業(yè)的損失和恢復(fù)系統(tǒng)的成本。盡管主要的惡意軟件傳播速度很快難以快速反應(yīng),但是絕大多數(shù)事件還是發(fā)生很慢。
由于惡意軟件形式和傳播方式多樣,所以惡意軟件會(huì)有很多可能的特征。有時(shí)需要花費(fèi)大量的時(shí)間分析,使用專(zhuān)業(yè)只是和經(jīng)驗(yàn)確定事件是由惡意軟件導(dǎo)致,特別是惡意軟件風(fēng)險(xiǎn)剛出現(xiàn)的時(shí)候。在惡意軟件事件探測(cè)和確認(rèn)之后,事件處理人員要確定問(wèn)題的類(lèi)型,擴(kuò)展名和規(guī)模,以便確定優(yōu)先順序。4.2.1到4.2.3將介紹惡意軟件事件的一些特征,確認(rèn)事件的特征,以及采取措施的先后順序。
4.2.1 了解惡意軟件事件的表征
惡意軟件事件表征有兩種:惡意軟件先驅(qū)(precursor)和跡象 (indication),所謂先驅(qū)是指惡意軟件攻擊可能會(huì)在將來(lái)出現(xiàn)。跡象是指是指已經(jīng)出現(xiàn)或是正在出現(xiàn)的表征。
絕大多數(shù)的惡意軟件先驅(qū)以如下形式出現(xiàn):
■ 惡意軟件咨詢(xún)公司 殺毒軟件開(kāi)發(fā)商和其它的安全組織會(huì)發(fā)布新的安全警報(bào)。事件處理人員可以定制這些信息報(bào)告以便清楚了解時(shí)下新的風(fēng)險(xiǎn)。還可以觀察一下那些已經(jīng)中招的企業(yè)。企業(yè)還可以自行分析潛在的風(fēng)險(xiǎn)和攻擊。
■ 安全工具警報(bào) 有一些工具,譬如殺毒軟件,IPS等可以探測(cè),隔離,刪除,或是阻止惡意軟件感染系統(tǒng)。這些行動(dòng)導(dǎo)致安全警報(bào)的產(chǎn)生。譬如說(shuō),惡意軟件的嘗試攻擊的失敗導(dǎo)致的警報(bào),同樣的攻擊可能通過(guò)未受監(jiān)視的攻擊因素侵入企業(yè)或是感染系統(tǒng),這樣就會(huì)導(dǎo)致安全事件。
先驅(qū)的探測(cè)給了企業(yè)一個(gè)修正安全狀態(tài)防止惡意軟件的窗口時(shí)間。在最壞的情況下,如果企業(yè)發(fā)現(xiàn)其將遭到攻擊,就可以事先進(jìn)入戰(zhàn)時(shí)狀態(tài),防范惡意軟件。但是絕大多數(shù)的惡意軟件并沒(méi)有一個(gè)明顯的標(biāo)志,其跡象的發(fā)生也就是在事件發(fā)生之前,因此,企業(yè)不應(yīng)該依賴(lài)這種事先的預(yù)警。
盡管安全事件常常在沒(méi)有任何跡象的情況下發(fā)生,但是卻又很多惡意事件的表征。常見(jiàn)的表征如下:
■ 網(wǎng)絡(luò)服務(wù)器崩盤(pán)
■ 用戶抱怨上網(wǎng)速度慢,系統(tǒng)資源的消耗和磁盤(pán)訪問(wèn)速度慢
■ 殺毒軟件檢測(cè)到主機(jī)感染了蠕蟲(chóng)
■ 系統(tǒng)管理員觀察到異常特征的文件名
■ 日志中記錄了配置的變化
■ 上網(wǎng)的時(shí)候,筆記本莫名重啟
■ 電子郵件管理員注意到大量可疑郵件
■ 殺毒軟件等安全措施被禁止
■ 管理員注意到異常流量
上述所列的表征很多都會(huì)導(dǎo)致惡意軟件。譬如說(shuō),由于非惡意軟件攻擊,操作系統(tǒng)漏洞等導(dǎo)致的網(wǎng)絡(luò)服務(wù)器崩盤(pán)。系統(tǒng)硬件失敗或是電子郵件服務(wù)器的誤配置導(dǎo)致的大量郵件,當(dāng)然也有可能是垃圾郵件者。這些都說(shuō)明了檢測(cè)和確認(rèn)惡意軟件事件的復(fù)雜程度,也說(shuō)明了技術(shù)過(guò)硬,接受良好培訓(xùn)的工作人員的重要性。這些事件處理人員要具有火眼金星,從海量信息中找到異常現(xiàn)象。表征的主要來(lái)源包括以下幾種:
■ 用戶 用戶經(jīng)常向技術(shù)人員報(bào)告惡意軟件相關(guān)的表征。譬如說(shuō),用戶可能會(huì)發(fā)現(xiàn)殺毒軟件上的警報(bào),發(fā)現(xiàn)系統(tǒng)不能正常運(yùn)行,或是異常行為。當(dāng)然,用戶也有可能是導(dǎo)致感染的原因或是事后尋求幫助。
■ IT管理人員 系統(tǒng),網(wǎng)絡(luò)和安全管理人員對(duì)于異常行為很敏感
■ 安全工具 殺毒軟件,IPS等會(huì)記錄下詳細(xì)的惡意軟件表征。網(wǎng)絡(luò)監(jiān)控等軟件可以報(bào)告網(wǎng)絡(luò)異常行為。這些信息在探測(cè)惡意軟件上尤其寶貴。
由于惡意軟件本身產(chǎn)生的特征如此之多,所以要想完全將其所有表征列舉下來(lái)是不可能的。下表將列舉常見(jiàn)安全工具遇到惡意軟件時(shí)的表征。對(duì)個(gè)人和管理人員來(lái)說(shuō)可能會(huì)有用:
可能的惡意軟件表征
4.2.2 確認(rèn)惡意軟件事件特征
由于沒(méi)有任何一種表征是完全可靠的,甚至殺毒軟件也有可能誤判正常的活動(dòng)——所以有時(shí)候就需要事件處理人員采用人工分析的方式確認(rèn)惡意軟件的原因。在一些情況下,譬如說(shuō)大規(guī)模的感染毋庸置疑就是惡意軟件事件。由于惡意軟件處理人員的目標(biāo)就是探討事件的原因,確認(rèn)惡意軟件類(lèi)型。如果一時(shí)找不出事件來(lái)源,就假設(shè)是惡意軟件造成的,如果發(fā)現(xiàn)假設(shè)不成立時(shí)再更換安全措施。如果一味等待,只會(huì)造成更大的損失。
作為分析和確認(rèn)過(guò)程的一部分,事件處理人員通過(guò)檢查探測(cè)來(lái)源確認(rèn)惡意軟件活動(dòng)的特征。了解惡意軟件活動(dòng)特征是有效地進(jìn)行抑制,清除和恢復(fù)活動(dòng)的重要基礎(chǔ)。事件處理人員要事先與安全管理人員合作了解關(guān)于惡意軟件信息的數(shù)據(jù)來(lái)源,以及數(shù)據(jù)來(lái)源包括何種信息。除了常見(jiàn)的數(shù)據(jù)來(lái)源,譬如說(shuō)殺毒軟件,事件處理人員還需要使用如下來(lái)源:
■ 防火墻和路由器日志文件
■ 電子郵件服務(wù)器和基于網(wǎng)絡(luò)的IPS監(jiān)視器上的日志文件
■ 信息包嗅探器,基于網(wǎng)絡(luò)的IPS監(jiān)視器和網(wǎng)絡(luò)取證分析工具上的信息抓包工具,里面可能會(huì)包括惡意軟件相關(guān)的流量
一旦事件處理人員接收到了探測(cè)來(lái)源數(shù)據(jù)和確認(rèn)了惡意軟件的特征,然后就可以和殺毒軟件廠商的病毒庫(kù)作出對(duì)照,確認(rèn)惡意軟件的原因。如果惡意軟件出現(xiàn)已有時(shí)日,殺毒軟件廠商一定會(huì)有關(guān)于其的詳細(xì)信息
■ 惡意軟件種類(lèi),(病毒,蠕蟲(chóng),木馬等)
■ 攻擊的端口和網(wǎng)絡(luò)服務(wù)
■ 攻擊的漏洞
■ 電子郵件抬頭,附件名,附件大小,關(guān)鍵內(nèi)容
■ 可能被感染的操作系統(tǒng),設(shè)備,程序等
■ 惡意軟件如何感染系統(tǒng)
■ 惡意軟件如何影響被感染的系統(tǒng),包括被感染文件的名稱(chēng)和地點(diǎn),更改的配置設(shè)置,安裝的后門(mén)端口等
■ 惡意軟件如何傳播及怎么樣實(shí)施抑制
■ 如何從系統(tǒng)中刪除惡意軟件
然而,不幸的是,最新的攻擊卻無(wú)法在短時(shí)間之內(nèi)出現(xiàn)在惡意軟件數(shù)據(jù)庫(kù)中。因此,事件處理人員還要依賴(lài)于其它信息來(lái)源作出快速響應(yīng)。譬如使用公共安全郵件清單,這些可能包含惡意事件的第一手賬號(hào),但是這些報(bào)告往往不夠準(zhǔn)確和完全;還有就是使用其它企業(yè)搜集的信息,如果惡意軟件的傳播速度相對(duì)較慢的話,就可以借此搜集數(shù)據(jù)。總之,要使用盡可能多的信息來(lái)源。
事件處理人員還需要研究受感染系統(tǒng)上的惡意軟件行為。譬如說(shuō),技術(shù)人員從感染系統(tǒng)上獲取樣本,然后在一個(gè)隔離的系統(tǒng)上對(duì)其進(jìn)行研究。一臺(tái)感染的系統(tǒng)或是感染系統(tǒng)的磁盤(pán)都可以放入隔離系統(tǒng)中。測(cè)試系統(tǒng)中應(yīng)該包括搜集惡意軟件信息的工具包(信息包嗅探器等)。這個(gè)隔離的系統(tǒng)不僅可以在毫無(wú)感染威脅的情況下研究惡意軟件,還可以做惡意軟件的相關(guān)培訓(xùn)。
為了有效分析系統(tǒng)上惡意軟件的行為,分析人員需要在移動(dòng)媒介上構(gòu)造可信任的工具包。工具包包括最新的殺毒軟件等。防止工具包存儲(chǔ)媒介被惡意軟件感染;譬如說(shuō),軟盤(pán)要出于寫(xiě)保護(hù)狀態(tài),CD要寫(xiě)滿,防止添加新的內(nèi)容。之所以這樣做是為了防止惡意軟件入侵工具包,篡改其功能,導(dǎo)致不能報(bào)告惡意行為。使用這種相對(duì)隔離的,受保護(hù)的工具可以更加有效地了解惡意軟件。#p#副標(biāo)題#e#
4.2.3 確定事件響應(yīng)的先后順序
一旦惡意軟件事件被確認(rèn),下一步行動(dòng)就是采取處理措施。有一些惡意軟件,譬如蠕蟲(chóng),會(huì)在短時(shí)間之內(nèi)造成極大的危害,因此要優(yōu)先處理類(lèi)似病毒。其它病毒,諸如木馬感染的只是單一系統(tǒng),可以根據(jù)數(shù)據(jù)的價(jià)值等采取保護(hù)措施。企業(yè)有必要建立一套惡意軟件響應(yīng)的等級(jí)制度。這一制度需要考慮如下因素:
■ 惡意軟件進(jìn)入系統(tǒng)的方式和傳播機(jī)制
■ 惡意軟件的種類(lèi)
■ 惡意軟件在系統(tǒng)中使用了什么攻擊者工具
■ 受感染的網(wǎng)絡(luò)和系統(tǒng)
■ 惡意軟件事件的后續(xù)影響
4.3 抑制病毒
抑制惡意軟件包括兩部分:一是禁止惡意軟件的傳播,防止感染其它系統(tǒng);針對(duì)所有的惡意軟件都需要采取抑制措施。在應(yīng)對(duì)惡意軟件事件的過(guò)程中,確定采用何種抑制方式很重要。孤立感染事件和非傳播性惡意軟件的抑制很簡(jiǎn)單,采取直接斷網(wǎng)或是關(guān)閉系統(tǒng)的方式即可。對(duì)于傳播廣泛的惡意軟件事件來(lái)說(shuō),企業(yè)需要及時(shí)采取措施限制計(jì)算機(jī)感染的數(shù)量,造成的危害,以及減少完全恢復(fù)系統(tǒng)和服務(wù)的時(shí)間。
在抑制惡意軟件事件的過(guò)程中,要知道禁止惡意軟件的傳播并不能防止其對(duì)系統(tǒng)造成的進(jìn)一步的傷害。即使是在企業(yè)完全禁止其傳播之后,惡意軟件還會(huì)繼續(xù)傳播和刪除數(shù)據(jù),應(yīng)用程序和操作系統(tǒng)文件。除此之外,有一些惡意軟件在斷開(kāi)網(wǎng)絡(luò)連接或是采取抑制措施之后導(dǎo)致額外的傷害。譬如,有的感染系統(tǒng)運(yùn)行的惡意程序不斷與其它系統(tǒng)聯(lián)系。如果切斷網(wǎng)絡(luò)就會(huì)切斷與網(wǎng)絡(luò)的聯(lián)系,惡意軟件就會(huì)重寫(xiě)主機(jī)硬盤(pán)上的所有數(shù)據(jù)。所以,僅僅斷網(wǎng)是不夠的,還要采取進(jìn)一步的措施防止進(jìn)一步的傷害。
企業(yè)需要建立相關(guān)的流程作出抑制惡意軟件相關(guān)的決定,這些決定要反映風(fēng)險(xiǎn)可接受性層級(jí)。譬如說(shuō),企業(yè)決定運(yùn)行關(guān)鍵功能的系統(tǒng)即使在感染病毒的情況下也不能斷網(wǎng),因?yàn)閿嗑W(wǎng)有可能帶了更大的損失。惡意軟件抑制戰(zhàn)略要支持事件處理人員根據(jù)不同的感染作出不同的抑制決策。
惡意軟件抑制方法可以分為四種:依靠用戶參與;執(zhí)行自動(dòng)探測(cè);臨時(shí)中斷服務(wù);禁止特定的網(wǎng)絡(luò)連接;以下4.3.1到4.3.4將詳細(xì)介紹這四種方法。
4.3.1 全民皆兵,用戶參與
用戶的參與是抑制措施中關(guān)鍵的一環(huán),特別是在大規(guī)模的事件中。企業(yè)教導(dǎo)用戶如何辨別感染,系統(tǒng)感染之后的應(yīng)對(duì)方法,譬如說(shuō),尋求幫助,斷開(kāi)系統(tǒng)網(wǎng)絡(luò),或是關(guān)閉系統(tǒng)。這些指導(dǎo)要涵蓋惡意軟件清除,譬如升級(jí)殺毒軟件病毒庫(kù)和執(zhí)行系統(tǒng)掃描,或是使用特制的惡意軟件根治軟件。這些措施對(duì)于管理混亂的網(wǎng)絡(luò)環(huán)境和自動(dòng)根治方法不可靠的情況下是非常有效的。
正如4.1.2中所說(shuō),用戶之間信息的溝通很重要。盡管現(xiàn)在電子郵件是最有效的溝通途徑,但是在關(guān)鍵時(shí)候還是有可能拋錨或是用戶收到郵件時(shí)為時(shí)已晚。因此,企業(yè)需要有備用的通訊方案保證信息發(fā)布的及時(shí)有效,譬如在企業(yè)只能發(fā)布信息到用戶的聲音郵箱,在工作場(chǎng)所張貼公告,散發(fā)傳單等。在系統(tǒng)登錄的時(shí)候發(fā)布系統(tǒng)信息也是很有效的,但是很多用戶長(zhǎng)期不退出或是忽略了這些消息。那些在家庭或是分支機(jī)構(gòu)辦公的員工,企業(yè)要保證信息到達(dá)用戶。另外一個(gè)重要的措施就是給用戶提供軟件,譬如清除軟件,軟件升級(jí),補(bǔ)丁和升級(jí)的病毒庫(kù)。
盡管用戶的參與很重要,但是單靠此顯然是不夠的。不管信息溝通渠道多么暢通,總會(huì)有用戶收不到信息或是忽略。還有,一些用戶收到指示之后,由于不知所云,所以很難按照指示去辦,或是理解錯(cuò)誤對(duì)系統(tǒng)造成損害。有一些用戶可能只關(guān)注常用的工具,而忽略了惡意軟件對(duì)系統(tǒng)的影響。但是,我們說(shuō),在一次大范圍的惡意軟件感染范圍之內(nèi),用戶的參與會(huì)大大減輕技術(shù)人員的負(fù)擔(dān)。
4.3.2 自動(dòng)探測(cè),大顯神威
很多惡意軟件事件使用3.4中描述的技術(shù)得到一定的抑制。這些技術(shù)包括,殺毒軟件,電子郵件過(guò)濾,和入侵防范過(guò)濾。由于主機(jī)上的殺毒軟件具有探測(cè)和刪除病毒的功能,所以在惡意事件抑制中備受喜愛(ài)。然而,這些探測(cè)工具的不足之初在于其只能依據(jù)現(xiàn)有病毒庫(kù)探測(cè),無(wú)法應(yīng)對(duì)新的惡意軟件。只有不斷的更新病毒庫(kù)才能不斷的檢測(cè)新的病毒,然而,在升級(jí)病毒庫(kù)的間歇,惡意軟件已造成巨大傷害。并且病毒庫(kù)的發(fā)布也是一個(gè)問(wèn)題。你不可能在同一時(shí)間滿足所有升級(jí)請(qǐng)求。
在一次大規(guī)模的惡意軟件事件中,如果惡意軟件未被殺毒軟件辨認(rèn)或是病毒庫(kù)升級(jí)尚未完成,企業(yè)需要臨時(shí)使用其它安全措施抑制惡意軟件。在企業(yè)收到升級(jí)的病毒庫(kù)之后,最好是測(cè)試一下,以免對(duì)企業(yè)正常的系統(tǒng)造成沖擊。另外一個(gè)使用多種安全措施的原因就是防止單一技術(shù)的過(guò)載。期待殺毒軟件處理所有的惡意軟件事件工作量是不現(xiàn)實(shí)的。通過(guò)探測(cè)和阻止惡意軟件的深度防御戰(zhàn)略,企業(yè)可以分散殺毒軟件的工作量。還有,使用不同的探測(cè)器可以適應(yīng)不同的環(huán)境。以下列舉常用的自動(dòng)探測(cè)工具:
■ 電子郵件過(guò)濾 電子郵件服務(wù)器和客戶端,以及殺毒軟件可以阻止包含一定特征的電子郵件和附件。譬如,主題,發(fā)送人,信息文本,附件類(lèi)型和名稱(chēng)。但是,現(xiàn)在惡意軟件的特征越來(lái)越多樣化,譬如,病毒可以使用上百個(gè)不同的主題,看起來(lái)都可能是合法郵件。還有一些病毒甚至產(chǎn)生隨機(jī)主題或是附件名,或是復(fù)制正常郵件,這些都可能導(dǎo)致郵件過(guò)濾方法的失效。除此之外,盡管絕大多數(shù)的惡意郵件附件都有可疑的文件擴(kuò)展名(特別是.bat,.cmd,.exe,.pif和.scr.),還有使用曾是善意的文件擴(kuò)展名,.zip已然成為更流行的惡意文件附件。
■ 基于網(wǎng)絡(luò)的IPS軟件 絕大多數(shù)的IPS產(chǎn)品都允許用戶自行設(shè)置防護(hù)功能。如果IPS是在線的,也就是其是網(wǎng)絡(luò)的積極組成部分,并且有惡意軟件特征,那么它就可以確認(rèn)和阻止惡意軟件。如果IPS沒(méi)有激活防范能力的話,最好是重新配置,部署多個(gè)IPS探測(cè)器,使IPS可以禁止惡意軟件活動(dòng)。IPS要能夠同時(shí)禁止危險(xiǎn)的出流和入流。當(dāng)然,IPS在防范惡意軟件中的價(jià)值取決于其病毒庫(kù)辨別惡意軟件的能力。有一些IPS產(chǎn)品允許管理員自行編寫(xiě)病毒庫(kù)。在很多情況下,管理員可以在殺毒軟件廠商發(fā)布病毒庫(kù)幾小時(shí)之前自己編寫(xiě)惡意軟件病毒庫(kù)。除此之外,由于IPS病毒庫(kù)僅僅對(duì)基于網(wǎng)絡(luò)的IPS探測(cè)器有效,而殺毒軟件病毒庫(kù)是影響所有的工作站和服務(wù)器,所以自己部署IPS病毒庫(kù)的風(fēng)險(xiǎn)比殺毒軟件小。
■ 基于主機(jī)的IPS軟件 有一些基于主機(jī)的IPS產(chǎn)品可以限制可執(zhí)行文件的運(yùn)行。譬如,管理員可以輸入不應(yīng)該被執(zhí)行的文件名。如果殺毒軟件病毒庫(kù)還沒(méi)有包含新的風(fēng)險(xiǎn),可以部署基于主機(jī)的IPS產(chǎn)品阻止文件的執(zhí)行。
4.3.3 阻斷服務(wù),釜底抽薪
有一些惡意軟件事件需要采取更徹底的措施方能抑制。譬如說(shuō),有些惡意軟件可能會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流量或是應(yīng)用程序活動(dòng),譬如說(shuō)電子郵件和文件傳輸導(dǎo)致很多應(yīng)用程序不能運(yùn)行。要想抑制這類(lèi)惡意軟件,很可能要停止很多服務(wù),譬如終止被惡意軟件利用的服務(wù),關(guān)閉有些網(wǎng)絡(luò)服務(wù)或是禁止服務(wù)端口。還有一些網(wǎng)絡(luò)服務(wù)被用來(lái)傳播感染。不管是哪種情形,關(guān)閉被感染的服務(wù)是最佳選擇。一般來(lái)說(shuō),這是限于應(yīng)用程序?qū)蛹?jí)或網(wǎng)絡(luò)層級(jí)。目標(biāo)就是在抑制惡意軟件的同時(shí),將功能的損失降到最低限。為了支持網(wǎng)絡(luò)服務(wù)的斷網(wǎng),企業(yè)要列出這些服務(wù)清單,以及使用的TCP和UDP端口。
最容易受惡意軟件影響的是電子郵件。電子郵件服務(wù)器是病毒和蠕蟲(chóng)傳播最廣泛的方式。關(guān)閉郵件服務(wù)器是最直截了當(dāng)?shù)姆椒ā5牵行┣闆r下,未知的郵件服務(wù)器可能會(huì)影響抑制的效果。如果企業(yè)服務(wù)器比較少,關(guān)閉郵件服務(wù)器端口可以在沒(méi)有太多郵件服務(wù)喪失的情況下實(shí)施有效的抑制。
從技術(shù)的角度來(lái)看,禁止服務(wù)很簡(jiǎn)單;但是要了解其結(jié)果就很難了。關(guān)閉企業(yè)依賴(lài)的服務(wù)很顯然會(huì)產(chǎn)生負(fù)面影響。也會(huì)影響其它相關(guān)的服務(wù)。譬如,關(guān)閉郵件服務(wù)可能會(huì)削弱通過(guò)郵件復(fù)制信息的目錄服務(wù)。因此企業(yè)在實(shí)施抑制措施的時(shí)候要考慮到依靠這些主服務(wù)的附加服務(wù)。使用類(lèi)似的服務(wù)代替很有效。譬如,在一個(gè)管理有序的網(wǎng)絡(luò)環(huán)境中,如果郵件客戶端被感染,用戶可以使用另外的尚未被感染的郵件客戶端。這樣依然可以保證郵件溝通。瀏覽器和客戶端應(yīng)用程序也可以采用這樣的替代方案。
企業(yè)要隨時(shí)準(zhǔn)備應(yīng)對(duì)由于其它企業(yè)禁止服務(wù)帶來(lái)的不便。譬如說(shuō),甲方有一個(gè)小組為已方工作,這時(shí)需要把甲方小組成員的郵箱賬號(hào)導(dǎo)入乙方的郵件系統(tǒng)中,如果乙方突然中止其郵件服務(wù),發(fā)出去的郵件就會(huì)被退回,然后再發(fā),又被退回,如此形成了郵件循環(huán)。如果發(fā)生這樣的情況,一些用戶帳戶會(huì)導(dǎo)致郵件服務(wù)的下降。
4.3.4 斷開(kāi)網(wǎng)絡(luò),療效明顯
臨時(shí)限制網(wǎng)絡(luò)連接在抑制惡意軟件時(shí)很有效。譬如,感染的計(jì)算機(jī)嘗試連接外部系統(tǒng)下載rookit,管理員要馬上阻斷訪問(wèn)的IP地址。類(lèi)似的 ,如果企業(yè)內(nèi)感染的系統(tǒng)準(zhǔn)備向外傳播惡意軟件,管理人員要馬上阻斷來(lái)自于這臺(tái)機(jī)器IP地址的流量。一個(gè)方案就是直接阻斷這個(gè)IP與網(wǎng)絡(luò)的連接,可以通過(guò)重新配置網(wǎng)絡(luò)設(shè)備或是切斷網(wǎng)線或是拔出感染系統(tǒng)上的網(wǎng)卡等實(shí)現(xiàn)。
最激進(jìn)的抑制方式就是故意切斷網(wǎng)絡(luò)與未感染系統(tǒng)的連接。這可能會(huì)影響很多系統(tǒng)的網(wǎng)絡(luò)連接,譬如說(shuō)遠(yuǎn)程撥號(hào)和VPN用戶。最壞的情況就是,從主要網(wǎng)絡(luò)中隔離二級(jí)網(wǎng)絡(luò)或是斷開(kāi)整個(gè)企業(yè)的網(wǎng)絡(luò)防止惡意軟件的傳播。當(dāng)然采用這種極端措施的情況就是惡意軟件已經(jīng)造成嚴(yán)重危害,并且擴(kuò)展到其它企業(yè)的時(shí)候。由于采取大規(guī)模的斷網(wǎng)必然會(huì)影響企業(yè)的正常運(yùn)轉(zhuǎn),因此要盡快恢復(fù)連接。
企業(yè)在規(guī)劃網(wǎng)絡(luò)的時(shí)候要使通過(guò)斷網(wǎng)的抑制變得簡(jiǎn)便和減少危害。譬如,有一些企業(yè)把服務(wù)器和工作站部署在單獨(dú)的二級(jí)網(wǎng)絡(luò)中;如果發(fā)生針對(duì)工作站的惡意軟件事件,受感染的工作站二級(jí)網(wǎng)絡(luò)可以從主網(wǎng)絡(luò)中隔離,那么服務(wù)器二級(jí)網(wǎng)絡(luò)還是可以正常運(yùn)轉(zhuǎn),為外部客戶和未受影響的內(nèi)部二級(jí)網(wǎng)絡(luò)提供服務(wù)。另外一種網(wǎng)絡(luò)設(shè)計(jì)就是在感染系統(tǒng)中使用單獨(dú)的虛擬局域網(wǎng)(VLAN)。使用這一設(shè)計(jì),主機(jī)在訪問(wèn)網(wǎng)絡(luò)的時(shí)候就會(huì)檢查其安全狀況。這種檢查常常由部署在主機(jī)上的設(shè)備監(jiān)視主機(jī)的行為,譬如操作系統(tǒng)補(bǔ)丁和殺毒軟件升級(jí)。一旦主機(jī)嘗試聯(lián)網(wǎng)的時(shí)候,網(wǎng)絡(luò)設(shè)備就會(huì)從監(jiān)視設(shè)備上獲取信息。如果主機(jī)未對(duì)請(qǐng)求作出響應(yīng),或是回應(yīng)顯示主機(jī)不安全,網(wǎng)絡(luò)設(shè)備就會(huì)把主機(jī)導(dǎo)向隔離的VLAN。同樣的技術(shù)也可以在已經(jīng)存在于網(wǎng)絡(luò)中的主機(jī)上使用,受感染的主機(jī)會(huì)自動(dòng)移到VLAN中。
使用VLAN技術(shù)可以在為感染的主機(jī)提供病毒庫(kù)升級(jí)和下載補(bǔ)丁的同時(shí)嚴(yán)格限制感染主機(jī)的副作用。如果沒(méi)有VLAN的話,企業(yè)就需要完全終止感染主機(jī)的網(wǎng)絡(luò)連接,這就需壓迫手動(dòng)升級(jí)和處置漏洞。單獨(dú)的VLAN的一個(gè)變通策略就是把所有的主機(jī)都置于VLAN的一個(gè)網(wǎng)絡(luò)段中,然后移到正常的網(wǎng)絡(luò)中。VLAN的一個(gè)缺點(diǎn)就是感染主機(jī)的流量仍然和正常網(wǎng)絡(luò)使用的設(shè)備是一樣的,它只能提供邏輯上的隔離,而不是實(shí)體上的。所以,由于惡意軟件活動(dòng)和系統(tǒng)升級(jí)等產(chǎn)生的大量流量都會(huì)出現(xiàn)在VLAN中,這有可能導(dǎo)致使用網(wǎng)絡(luò)設(shè)備的用戶的操作問(wèn)題。
4.3.5 抑制惡意軟件事件的建議
抑制惡意軟件可以使用上述描述的四種方式。由于單一的惡意軟件處理方式不可能很有效,所以需要綜合采取各種技術(shù)。譬如說(shuō),阻斷網(wǎng)絡(luò)連接在阻止惡意軟件傳播上很有效,但是系統(tǒng)上感染的文件可能會(huì)繼續(xù)造成破壞。
企業(yè)忍受采取極端抑制措施的時(shí)間不會(huì)太長(zhǎng)。相應(yīng)地,企業(yè)需要支持使用成熟的抑制決策,清晰的政策規(guī)定擁有作出決策的人員,以及何時(shí)采取措施。
4.3.6 感染主機(jī)的確定
確定被感染的主機(jī)是處理惡意軟件事件的一部分,特別是在大規(guī)模的惡意軟件事件時(shí),尤其重要。一旦確認(rèn)了被感染的主機(jī),我們就可以采取適當(dāng)?shù)囊种疲宄齻€(gè)恢復(fù)措施。不幸的是,由于計(jì)算的動(dòng)態(tài)性,確認(rèn)感染的計(jì)算機(jī)很復(fù)雜。譬如,人們會(huì)關(guān)閉系統(tǒng),斷開(kāi)網(wǎng)絡(luò),或是轉(zhuǎn)移工作地點(diǎn),這就使得確認(rèn)感染的計(jì)算機(jī)變得異常困難。除此之外,有一些主機(jī)使用多個(gè)操作系統(tǒng)或是虛擬操作系統(tǒng),如果操作系統(tǒng)之一感染病毒的,另一操作系統(tǒng)沒(méi)有,而剛好使用的又是未感染的操作系統(tǒng),這樣病毒就會(huì)檢測(cè)不出來(lái)。
準(zhǔn)確的確認(rèn)感染主機(jī)的復(fù)雜性還受其它因素的影響。譬如,有的系統(tǒng)漏洞可能被重復(fù)感染過(guò)多次。有一些惡意軟件會(huì)刪除其它惡意軟件的一些或全部特征,這樣就使得這些病毒難以查出。在一次大規(guī)模的惡意軟件事件中,由于主機(jī)數(shù)量之多所以確認(rèn)很困難。除此之外,關(guān)于感染主機(jī)的數(shù)據(jù)可能來(lái)自于多個(gè)渠道——殺毒軟件,IDS(入侵檢測(cè)系統(tǒng)),用戶報(bào)告等。
理想的情況下,感染主機(jī)的確認(rèn)可以使用自動(dòng)的方法,但是由于多方面的原因(4.3.6.1和4.3.6.2將闡述),這常常是不可能的。人工確認(rèn)的方法,譬如說(shuō)依靠用戶確認(rèn)和報(bào)告感染,技術(shù)人員挨個(gè)檢查系統(tǒng),但是這些對(duì)于綜合性的確認(rèn)都不可靠。所以企業(yè)在惡意軟件事件來(lái)臨之前就應(yīng)該意識(shí)到這一問(wèn)題,使用多種確認(rèn)方式作為實(shí)施有效抑制病毒的一部分。企業(yè)還要決定需要哪一種確認(rèn)信息以及記錄信息的來(lái)源。譬如,主機(jī)的IP地址對(duì)于遠(yuǎn)程機(jī)是必須的,本地機(jī)則需要主機(jī)的實(shí)體位置。
確認(rèn)感染系統(tǒng)的實(shí)體地址的難處有幾個(gè)因素。在一個(gè)管理良好的網(wǎng)絡(luò)環(huán)境中,確認(rèn)主機(jī)地址相對(duì)簡(jiǎn)單,因?yàn)槭虑槎际峭耆珮?biāo)準(zhǔn)化的。譬如,系統(tǒng)名含有用戶ID或是辦公室號(hào),或是系統(tǒng)序列號(hào)。還有,資產(chǎn)庫(kù)存管理工具可能會(huì)包含主機(jī)現(xiàn)有的特征。在那些管理不夠完善的網(wǎng)絡(luò)環(huán)境中,要確認(rèn)地址就很困難了。譬如說(shuō),譬如說(shuō)管理員知道位于10.3.3.1.70這一地址的系統(tǒng)被感染,但是卻不知道系統(tǒng)在哪,誰(shuí)在使用。管理員要使用網(wǎng)絡(luò)設(shè)備跟蹤感染的系統(tǒng)。譬如說(shuō),轉(zhuǎn)換端口繪圖器(mapper)可以發(fā)布特定IP地址的轉(zhuǎn)換,然后確認(rèn)轉(zhuǎn)換端口數(shù)和與IP地址相關(guān)的主機(jī)名稱(chēng)。如果感染的系統(tǒng)要幾道轉(zhuǎn)換,定位一個(gè)IP地址就需要數(shù)小時(shí)的時(shí)間;如果感染系統(tǒng)不是直接轉(zhuǎn)換的,管理員需要使用多個(gè)網(wǎng)絡(luò)設(shè)備人工跟蹤連接。一個(gè)替代的方法就是抽回網(wǎng)線或是關(guān)閉感染系統(tǒng)的轉(zhuǎn)換端口,然后等用戶報(bào)告異常情況。這種方法無(wú)意間就會(huì)影響少數(shù)正常的系統(tǒng),但是如果作為最后的保留方式還是很有效的。
有一些企業(yè),首先確認(rèn)感染的主機(jī),然后采取抑制,刪除和恢復(fù)措施,然后采取措施保護(hù)正常系統(tǒng)。當(dāng)然了,這些措施是要事先準(zhǔn)備好的,管理人員在鎖定主機(jī)的時(shí)候要獲得允許。一般說(shuō)來(lái),鎖定措施基于特定主機(jī)的特征,譬如MAC地址或是靜態(tài)IP地址,如果系統(tǒng)與用戶是一一對(duì)應(yīng)的話,也可以依據(jù)ID鎖定。還有一種可能性是使用網(wǎng)絡(luò)登錄腳本確認(rèn)和拒絕訪問(wèn)感染的主機(jī),但是如果是系統(tǒng)開(kāi)機(jī)之后感染的話,就沒(méi)有什么效果了。正如,4.3.4中描述的那樣,使用單獨(dú)的VLAN是鎖定系統(tǒng)很好的選擇,當(dāng)然要保證探測(cè)感染的機(jī)制是可靠的。盡管采用關(guān)閉系統(tǒng)的方式只能在極端的情況下使用,企業(yè)要事先考慮關(guān)閉系統(tǒng)的方式,這樣在需要的情況下,就可以快速行動(dòng)。
以下4.3.6.1到4.3.6.3討論三種感染主機(jī)的確認(rèn)技術(shù):計(jì)算機(jī)取證術(shù),主動(dòng)出擊,手動(dòng)方式:
4.3.6.1 計(jì)算機(jī)取證技術(shù)確認(rèn)
計(jì)算機(jī)取證確認(rèn)術(shù)是通過(guò)尋找感染證據(jù)確認(rèn)感染系統(tǒng)的方法。這些證據(jù)可能是幾分鐘之前或是幾天之前的;信息時(shí)效性越差,正確度越低。最常見(jiàn)的證據(jù)來(lái)源是殺毒軟件,間諜軟件探測(cè)刪除軟件,內(nèi)容過(guò)濾(譬如,垃圾郵件措施),和IPS軟件。安全程序的日志可能包括可疑活動(dòng)的詳細(xì)記錄,也可能暗示已經(jīng)發(fā)生安全事故或是已經(jīng)阻止。如果安全程序是整個(gè)企業(yè)部署的一部分,日志會(huì)出現(xiàn)在個(gè)人主機(jī)和中央管理程序日志上。
如果證據(jù)來(lái)源沒(méi)有包含必要的信息,企業(yè)需要轉(zhuǎn)向次信息來(lái)源,譬如:
■ 網(wǎng)絡(luò)設(shè)備日志 防火墻,路由器或是其它記錄連接活動(dòng)的設(shè)備。網(wǎng)絡(luò)監(jiān)視工具在確認(rèn)網(wǎng)絡(luò)連接上也有一定幫助。
■ Sinkhole 路由器 所謂sinkhole路由器是企業(yè)內(nèi)部搜集所有未知路由流量的路由器。惡意軟件一般會(huì)產(chǎn)生這樣的流量,這樣的話,sinkhole觀察到的異常流量就會(huì)暗示存在新的惡意軟件威脅。建立一個(gè)功能強(qiáng)大的sinkhole路由器對(duì)于確認(rèn)感染系統(tǒng)是很有效的。Sinkhole路由器將搜集到的流量發(fā)送到日志服務(wù)器和IDS上,信息包嗅探器也可以用來(lái)記錄可疑活動(dòng)。
■ 應(yīng)用程序服務(wù)器日志 有一些程序常常作為惡意軟件傳播機(jī)制,譬如,電子郵件和HTTP,在它們的日志中可能會(huì)顯示哪些主機(jī)被感染了。在點(diǎn)對(duì)點(diǎn)的傳播過(guò)程中,一封郵件的信息可能同時(shí)被幾個(gè)地方記錄:發(fā)件人系統(tǒng),處理郵件的每一個(gè)郵件服務(wù)器,收件人系統(tǒng),殺毒軟件,垃圾郵件和內(nèi)容過(guò)濾服務(wù)器等。相似的,瀏覽器上有很豐富的關(guān)于惡意網(wǎng)絡(luò)活動(dòng)的信息包括網(wǎng)站收藏,cookies。還有一個(gè)來(lái)源是DNS服務(wù)器日志。
■ 網(wǎng)絡(luò)取證技術(shù)工具 這些軟件可以獲取和記錄信息包,譬如網(wǎng)絡(luò)取證分析工具和信息包嗅探器,這些都可以記錄高度詳細(xì)的惡意軟件活動(dòng)。但是,由于這些軟件會(huì)記錄下所有的網(wǎng)絡(luò)活動(dòng),要從中淘出需要的信息很耗時(shí),還有其它更有效的方法。
使用取證數(shù)據(jù)確認(rèn)感染主機(jī)比其它方式更有優(yōu)勢(shì),因?yàn)榭梢詮囊阉鸭臄?shù)據(jù)中抽取出需要的數(shù)據(jù)。不幸的是,要從有些數(shù)據(jù)源中抽出需要的信息過(guò)于耗時(shí)。還有,由于信息很快就會(huì)過(guò)時(shí),這都會(huì)導(dǎo)致正常系統(tǒng)接受不必要的抑制,而感染的系統(tǒng)卻逍遙法外。如果 取證數(shù)據(jù)的來(lái)源準(zhǔn)確合理,計(jì)算機(jī)取證是最有效地確認(rèn)感染系統(tǒng)的方法。
4.3.6.2 主動(dòng)確認(rèn)技術(shù)
主動(dòng)確認(rèn)技術(shù)用于確認(rèn)當(dāng)前被感染的主機(jī)。一旦發(fā)現(xiàn)感染,一些主動(dòng)探測(cè)方式就會(huì)執(zhí)行抑制和清除措施,譬如說(shuō),運(yùn)行隔離感染工具,部署補(bǔ)丁或是殺毒軟件升級(jí),或是將感染主機(jī)移到VLAN中。主動(dòng)確認(rèn)方式有如下幾種方式部署:
■ 登錄腳本 網(wǎng)絡(luò)登錄腳本可以用來(lái)檢查主機(jī)特征尋找惡意軟件跡象。使用登錄腳本確認(rèn)感染系統(tǒng)的缺陷就是感染的主機(jī)常常數(shù)天數(shù)月不登陸系統(tǒng)。這樣就無(wú)法確認(rèn)了。
■ 個(gè)性化的基于網(wǎng)絡(luò)的IPS或是IDS特征庫(kù) 自己編寫(xiě)IPS或是IDSt特征庫(kù)確認(rèn)感染的主機(jī)是很有效的技術(shù)。有一些企業(yè)有單獨(dú)的IPS或是IDS探測(cè)器,擁有強(qiáng)大的辨別惡意軟件的功能。這樣在有效減輕其它探測(cè)器負(fù)擔(dān)的同時(shí),保證了信息的高質(zhì)量。
■ 信息包嗅探器 使用信息包嗅探器尋找與病毒匹配的網(wǎng)絡(luò)流量特征對(duì)于確認(rèn)感染的主機(jī)是很有效的。如果所有的惡意軟件產(chǎn)生的網(wǎng)絡(luò)流量都通過(guò)同一或是幾個(gè)網(wǎng)絡(luò)設(shè)備的時(shí)候,信息包嗅探器是最有效的。
■ 漏洞評(píng)估軟件 絕大多數(shù)可以確認(rèn)主機(jī)漏洞的程序也可以探測(cè)已知的惡意軟件風(fēng)險(xiǎn)。盡管如此,漏洞評(píng)估軟件對(duì)于主機(jī)上的新風(fēng)險(xiǎn)也無(wú)能為力。
■ 主機(jī)掃描 如果特定的軟件導(dǎo)致感染的主機(jī)運(yùn)行監(jiān)視端口的惡意程序,對(duì)于已知端口的掃描可以有效地找出感染的主機(jī)
■ 其它掃描 除了主機(jī)掃描之外,其它掃描也是有幫助的,譬如說(shuō),特定的配置設(shè)置或是系統(tǒng)文件的大小
幾種主動(dòng)確認(rèn)技術(shù)的混合使用是最有效的,因?yàn)檫@樣可以發(fā)揮每種技術(shù)的專(zhuān)長(zhǎng)。譬如說(shuō),主機(jī)掃描可能在使用個(gè)人防火墻的主機(jī)上不夠有效,因?yàn)榉阑饓ψ柚沽藪呙瑁切畔崽狡骱偷卿浤_本在這種情況下卻很有效。盡管主動(dòng)確認(rèn)技術(shù)的混合使用是很有效的,但是也要常常使用,因?yàn)楦腥緺顟B(tài)的不斷變化和數(shù)據(jù)搜集的時(shí)間差。
4.3.6.3 人工確認(rèn)
確認(rèn)感染主機(jī)的另一種方式就是人工方法。這是三種方式中最耗人力的,但是是成功確認(rèn)必須的方式。在網(wǎng)絡(luò)完全被與感染相關(guān)的流量占據(jù)的時(shí)候,主動(dòng)方式就不行了。一旦惡意軟件網(wǎng)絡(luò)流量使用假冒的地址和產(chǎn)生大量的活動(dòng),由于大量信息的出現(xiàn)會(huì)淹沒(méi)有價(jià)值的信息,這樣會(huì)導(dǎo)致網(wǎng)絡(luò)取證技術(shù)的失效。還有,如果用戶擁有系統(tǒng)的完全控制權(quán),系統(tǒng)特征的千變?nèi)f化導(dǎo)致自動(dòng)確認(rèn)技術(shù)產(chǎn)生的結(jié)果不完全和不準(zhǔn)確。在這種情況下,人工確認(rèn)就是最好的選擇。
實(shí)施人工方法有幾種可能的技術(shù)。一種就是,提供給用戶關(guān)于惡意軟件特征的一些信息,讓他們自行確認(rèn)感染。還有一種方式就是讓IT管理人員檢查所有的系統(tǒng)或是可疑系統(tǒng)。如果是遠(yuǎn)程辦公室的話,非IT人士也可以做類(lèi)似檢查。
4.3.6.4 關(guān)于感染主機(jī)確認(rèn)的一些建議
盡管采取主動(dòng)確認(rèn)的方式結(jié)果是最準(zhǔn)確的,但是不是最快的。掃描所有主機(jī)相當(dāng)耗時(shí),由于有的系統(tǒng)斷網(wǎng)或是關(guān)閉,掃描就得重來(lái)一次。如果取證數(shù)據(jù)是最近的,這確實(shí)是很好的信息來(lái)源,盡管這些信息不一定是綜合性的。人工方式對(duì)于綜合性的企業(yè)范圍內(nèi)的確認(rèn)是不可行的,但是可以有效填補(bǔ)其它技術(shù)的空白。在很多情況下,同時(shí)使用多種方式是最有效的。
企業(yè)要從實(shí)際出發(fā),選擇最有效的方式,以及確定使用的流程,這樣在面臨風(fēng)險(xiǎn)的時(shí)候有章可依。企業(yè)要確認(rèn)哪些人或組織應(yīng)該參與到這一過(guò)程中來(lái)。譬如,確認(rèn)時(shí)需要安全管理人員(殺毒軟件,IPS,防火墻,漏洞評(píng)估,掃描),系統(tǒng)管理人員(DNS,電子郵件和網(wǎng)絡(luò)服務(wù)器),網(wǎng)絡(luò)管理員(信息包嗅探器,路由器),臺(tái)式機(jī)管理人員(Windows注冊(cè)或文件掃描,登錄腳本更改)等等。參與的人員需要明確責(zé)任,分工明確。
4.4 清除惡意軟件
盡管清除的目標(biāo)就是從感染系統(tǒng)中刪除惡意軟件,但是清除的意義遠(yuǎn)不止如此。如果感染的原因是由于系統(tǒng)漏洞或是安全缺陷,譬如說(shuō)不安全的文件共享,這時(shí)候惡意軟件的清除就包括漏洞的處置,防止惡意軟件再借此漏洞感染系統(tǒng)。正如4.3.6中所述,清除行動(dòng)要與抑制措施一起使用。譬如說(shuō),企業(yè)需要運(yùn)行軟件確認(rèn)感染的主機(jī),使用補(bǔ)丁填補(bǔ)漏洞,運(yùn)用殺毒軟件刪除感染。抑制措施常常會(huì)限制清除手段的選擇。譬如,如果惡意軟件是通過(guò)斷網(wǎng)的方式抑制的話,系統(tǒng)要么移到單獨(dú)的VLAN中實(shí)現(xiàn)遠(yuǎn)程升級(jí)或者是人工重新配置。由于主機(jī)與網(wǎng)絡(luò)斷開(kāi),事件響應(yīng)人員最好是快速完成修復(fù)任務(wù),讓用戶盡管正常上網(wǎng)。
敵動(dòng)我動(dòng),根據(jù)不同的情形使用不同的清除技術(shù)。最常用的工具是殺毒軟件,間諜軟件探測(cè)和刪除工具,補(bǔ)丁管理軟件。自動(dòng)清除方法,譬如說(shuō)觸發(fā)式殺毒掃描,就比單純的人工掃描有效。但是自動(dòng)清除方式不是在所有的情況下都最有效。譬如,一臺(tái)感染的機(jī)器嘗試破壞另外的系統(tǒng)或是消耗大量帶寬,這需要采取斷網(wǎng)和人工處理的方式。在4..3.1中討論過(guò),用戶參與是很必要的。有一些情況下,需要給用戶提供指導(dǎo)和軟件升級(jí),但是有一些用戶需要幫助。在面臨大規(guī)模的惡意軟件事件的時(shí)候,額外的IT管理人員可以有效地減輕事件處理人員的工作量。如果企業(yè)沒(méi)有專(zhuān)門(mén)的IT人員,培訓(xùn)員工基本的刪除措施應(yīng)對(duì)惡意軟件。同時(shí)使用不同的抑制措施是必須的。
在一些惡意軟件事件中,重建感染系統(tǒng)是刪除措施的一部分。重建包括重裝系統(tǒng)和應(yīng)用程序,恢復(fù)備份數(shù)據(jù)。由于重建主機(jī)跟其它方式相比,消耗了更多的資源,這種方式當(dāng)是最后的選擇。譬如說(shuō),有一些惡意軟件極難清除,即使被移除,主機(jī)操作系統(tǒng)也可能被破壞,可能導(dǎo)致主機(jī)不能啟動(dòng)。如果主機(jī)是多重感染,或是感染了一段時(shí)間,或是安裝了后門(mén)程序,rookit或其它攻擊工具,在這種情況下,重建系統(tǒng)就是最有效的方式。在惡意軟件發(fā)生的時(shí)候,企業(yè)要快速反應(yīng),重建主機(jī)系統(tǒng)。
清除惡意軟件有時(shí)令人懊惱,當(dāng)你面對(duì)如此多的需要清除的系統(tǒng)的時(shí)候確實(shí)有點(diǎn)灰心,并且這些系統(tǒng)日復(fù)一日,年復(fù)一年的重復(fù)感染。事件處理人員要時(shí)常確認(rèn)哪些主機(jī)仍然處于感染狀態(tài),以及清除的效果。如果出現(xiàn)感染主機(jī)的數(shù)量減少,這就說(shuō)明策略的有效性,就為以后的事件處理積累的經(jīng)驗(yàn),指明了出路。如果感染主機(jī)的數(shù)量下降了很多,企業(yè)實(shí)施要繼續(xù)努力,爭(zhēng)取將數(shù)量減小到最少。
清除大范圍的惡意軟件感染需要承受很大的壓力,特別是員工和管理層對(duì)于清除需要消耗的事件沒(méi)有底的時(shí)候。由于感染機(jī)器數(shù)量之多,以及系統(tǒng)的變化性,很多企業(yè)需要花費(fèi)數(shù)天或一個(gè)星期的時(shí)間完成感染系統(tǒng)惡意軟件的清除。因此做好員工和管理層的教育,獲得他們的諒解和支持是很重要的。
由于很多rookit導(dǎo)致系統(tǒng)的變化,破壞最重要的文件,這就需要花費(fèi)大量的時(shí)間和資源完全清除系統(tǒng)中的rookit。一般來(lái)說(shuō),發(fā)現(xiàn)rookit的時(shí)候最好是重裝系統(tǒng)。重裝系統(tǒng)需要重裝和重新配置操作系統(tǒng)和應(yīng)用程序,或是恢復(fù)備份數(shù)據(jù)。一般說(shuō)來(lái),在下列情況下,最好是采取重裝系統(tǒng)的方式:
■ 多個(gè)攻擊者獲取了管理員權(quán)限
■ 任何人都可以使用后門(mén)程序,蠕蟲(chóng)或是其它方式獲取管理員權(quán)限的訪問(wèn)
■ 系統(tǒng)文件已經(jīng)被木馬,后門(mén)程序,rookit,攻擊者工具或是其它文件代替
■ 使用殺毒軟件,間諜軟件探測(cè)和清除軟件或是其它技術(shù)刪除惡意軟件之后,系統(tǒng)出現(xiàn)不穩(wěn)定。這說(shuō)明惡意軟件為被清除干凈或是重要的系統(tǒng)和應(yīng)用程序設(shè)置遭篡改
如果惡意軟件事件沒(méi)有上訴特征,使用常見(jiàn)的惡意軟件清除方式即可。一旦發(fā)現(xiàn)對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問(wèn),企業(yè)可以考慮重建系統(tǒng)。
4.5恢復(fù)措施
恢復(fù)措施的兩個(gè)重要方面:恢復(fù)系統(tǒng)功能和系統(tǒng)數(shù)據(jù); 刪除臨時(shí)的抑制措施。那些造成損害比較小的惡意軟件事件不需要采取額外的行動(dòng)恢復(fù)系統(tǒng)。在4.4中,我們已經(jīng)討論過(guò),對(duì)于危害比較大的惡意軟件,木馬,rookit或是后門(mén)程序等,最好先重建系統(tǒng)或是從備份數(shù)據(jù)中恢復(fù),然后采取有效措施確保系統(tǒng)的安全。不怕一萬(wàn),只怕萬(wàn)一。企業(yè)要做好應(yīng)對(duì)最壞情況的打算,譬如惡意軟件刪除了所有的硬盤(pán)數(shù)據(jù)。在恢復(fù)的過(guò)程中,要確定誰(shuí)負(fù)責(zé)恢復(fù)任務(wù),估計(jì)人工,花費(fèi)的時(shí)間,以及恢復(fù)數(shù)據(jù)的優(yōu)先順序。
決定什么時(shí)候移除臨時(shí)抑制措施很難,譬如中斷的服務(wù)(電子郵件)或連接(網(wǎng)絡(luò)訪問(wèn),VPN等)。譬如說(shuō),為了防止惡意軟件的傳播,電子郵件服務(wù)被中斷,與此同時(shí),漏洞系統(tǒng)和感染的系統(tǒng)正在經(jīng)歷惡意軟件抑制,清除和恢復(fù)措施。然而,后者需要花費(fèi)數(shù)星期的時(shí)間完全完成,但是電子郵件服務(wù)卻不能中斷如此之久。如果郵件服務(wù)恢復(fù)了,幾乎可以肯定的是感染系統(tǒng)就開(kāi)始傳播惡意軟件了。但是,如果所有的系統(tǒng)都下載了補(bǔ)丁,惡意軟件感染的壓力就是最小的。技術(shù)人員要保證抑制措施直至感染系統(tǒng)造成的威脅微乎其微。盡管如此,事件響應(yīng)人員還是要評(píng)估重啟服務(wù)的危險(xiǎn),根據(jù)技術(shù)人員的建議和管理層對(duì)于商業(yè)壓力的理解,管理層要為最終的決定負(fù)責(zé)。
4.6 經(jīng)驗(yàn)教訓(xùn)
當(dāng)發(fā)生惡意軟件事件之后,技術(shù)人員要連續(xù)多天的努力工作。隨著惡意軟件處理的結(jié)束,關(guān)鍵技術(shù)人員估計(jì)也是身心俱疲。由于這些原因,本該是很重要的經(jīng)驗(yàn)教訓(xùn)總結(jié)被忽略了。所以企業(yè)要高度重視這種 “重處理,輕總結(jié)”的情況。以下就是從一些事件中學(xué)到的經(jīng)驗(yàn)教訓(xùn):
■ 安全政策的改變 調(diào)整安全政策,防范類(lèi)似的風(fēng)險(xiǎn)。
■ 員工安全意識(shí)教育的變化 提高員工在事件處理中參與的主動(dòng)程度
■ 軟件重新配置 操作系統(tǒng)或是應(yīng)用程序隨著安全政策的變化而變化
■ 惡意軟件探測(cè)軟件的部署 如果系統(tǒng)的感染是由于未受保護(hù)的傳輸機(jī)制造成的,最好是部署額外的軟件
■ 惡意軟件探測(cè)軟件重新配置 探測(cè)軟件需要在多個(gè)方面重新配置,如下,
○增加軟件和病毒庫(kù)升級(jí)的頻率
○提高探測(cè)的準(zhǔn)確性
○擴(kuò)大監(jiān)視范圍
○提高病毒庫(kù)升級(jí)分布的時(shí)效性
4.7 總結(jié)
總之,企業(yè)需要有豐富的響應(yīng)機(jī)制應(yīng)對(duì)日益瘋狂的惡意軟件事件。筆者上訴的一些建議是根據(jù)目前的惡意軟件情形提出的一些建議。惡意軟件未來(lái)的發(fā)展會(huì)提出越來(lái)越多的挑戰(zhàn)。我們始終相信,只要我們付出持續(xù)不斷努力,惡意軟件事件是可以抑制的。
