管理员应对恶意软件的五个步骤

来源: TechTarget中国
2014/2/11 14:02:47
恶意软件的问题并不会随着时间的流逝有任何好转的迹象。所以对于桌面和网络管理员来说,现在需要提高他们的技能,使之成长为威胁分析师,数据科学家和事件响应者。

分享到: 新浪微博 腾讯微博
本文关键字: 管理员 恶意软件

几年前,在一个项目中,由于是有针对性的恶意软件攻击,我研究了被卷入僵尸网络的超过10,000台的计算机。这些计算机存在的主要问题是安全措施极其薄弱,如没有漏洞测试,以及对传统杀毒软件过度依赖等。另外还发现在安全团队、桌面支持团队、IT管理员和其他相关方之间的沟通出现中断。这是非常致命的。

“肉鸡”和它们的指令控制(C&C)服务器被归类为先进的恶意软件。随着我们更多地了解这些先进恶意软件的复杂程度以及问题可能的复杂性和广泛性,很显然,僵尸网络的清理并不是一件简单的事情。不幸的是,在企业遇到这种问题时,管理员是无法简单地通过关闭系统,重新安装镜像来避免的。

正如我遇到过的一样,肉鸡感染可能是作为一名IT专业人士处理过的最讨厌的事情之一,但它并不会对你现有的工作产生巨大影响。

对于如何应对这些恶意软件感染,以及肉鸡移除,作为企业的IT管理员,以下是需要注意的五个关键步骤。

1. 文档化

如果你要有效地管理IT风险,需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力,那么一个对不同终端,网络访问,数据管理以及未知用户都有详细定义的好的计划是相当有必要的。

2. 诊断

俗话说,治病一半的功劳在于诊断。所以,感染点在哪里?这是一个对于恶意软件来说价值$ 64,000的问题。

使用加密,快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”,很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机,一定要加紧调查并尽量控制范围。提示:Windows客户端被感染的可能性比较大,但也可能是你的Windows服务器。

使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码,以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具,OmniPeek还可以提供额外的视图以查看网络层面发生的事情,这种更高级别的视图将让管理员受益匪浅。

此外,你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术,以有效地追踪恶意软件感染和进行肉鸡移除。

3. 限制

如果你足够了解恶意软件的感染,可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量,直到将它们清理掉。

共2页: 上一页1 [2]
责编:王雅京
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map