企業(yè)感染惡意軟件的處理建議企業(yè)網(wǎng)絡(luò)感染惡意軟件可能會(huì)造成關(guān)鍵信息系統(tǒng)或數(shù)據(jù)的破壞�����,直接威脅正常業(yè)務(wù)的運(yùn)行。
為了應(yīng)對(duì)這樣的情況���,企業(yè)應(yīng)該提前做好準(zhǔn)備���,構(gòu)建惡意軟件的檢測(cè)和響應(yīng)能力。
企業(yè)網(wǎng)絡(luò)感染惡意軟件可能會(huì)造成關(guān)鍵信息系統(tǒng)或數(shù)據(jù)的破壞���,直接威脅正常業(yè)務(wù)的運(yùn)行�。
為了應(yīng)對(duì)這樣的情況���,企業(yè)應(yīng)該提前做好準(zhǔn)備����,構(gòu)建惡意軟件的檢測(cè)和響應(yīng)能力。
惡意軟件的擴(kuò)散途徑惡意軟件可能會(huì)通過(guò)通信工具傳播�,如通過(guò)電子郵件或即時(shí)通信軟件,也可以通過(guò)惡意網(wǎng)站或P2P連接傳播�����,還可以通過(guò)系統(tǒng)漏洞傳播���。
惡意軟件一般具備在大型企業(yè)網(wǎng)絡(luò)快速傳播的能力��,對(duì)于企業(yè)而言�����,查清惡意軟件的感染途徑對(duì)于事件處理具有重要作用��。
有利于惡意軟件傳播的系統(tǒng)主要是企業(yè)應(yīng)用程序,尤其是那些直接與多個(gè)主機(jī)和終端連接并對(duì)其產(chǎn)生影響的應(yīng)用程序�,包括:補(bǔ)丁管理系統(tǒng)資產(chǎn)管理系統(tǒng)遠(yuǎn)程協(xié)助或遠(yuǎn)程管理軟件防病毒系統(tǒng)系統(tǒng)管理員或網(wǎng)絡(luò)管理員的工作站集中式備份服務(wù)器集中式文件共享服務(wù)器網(wǎng)絡(luò)攻擊者雖然雖然與惡意軟件的行為模式不盡相同,但也可能會(huì)破壞企業(yè)其他信息資源�����,從而影響企業(yè)關(guān)鍵數(shù)據(jù)和應(yīng)用程序的可用性,
如:集中式存儲(chǔ)設(shè)備���,潛在風(fēng)險(xiǎn)為直接訪問(wèn)磁盤分區(qū)和數(shù)據(jù)倉(cāng)庫(kù);網(wǎng)絡(luò)設(shè)備�,潛在風(fēng)險(xiǎn)–向路由表中注入虛假路由��,從路由表中刪除特定路由���,通過(guò)刪除或修改配置降低關(guān)鍵網(wǎng)絡(luò)資源的可用性���。
安全措施建議最常用的策略是增加企業(yè)對(duì)惡意軟件的防護(hù)能力,對(duì)易受惡意軟件攻擊的企業(yè)信息組件和系統(tǒng)�����,可以看展必要安全評(píng)估���,并部署必要的安全防護(hù)措施����。
1. 網(wǎng)絡(luò)安全在企業(yè)網(wǎng)絡(luò)中進(jìn)行必要的網(wǎng)絡(luò)分段和分區(qū):僅允許網(wǎng)絡(luò)的訪問(wèn)控制列表(ACL)中配置為“允許”的端口和協(xié)議進(jìn)行服務(wù)器到主機(jī)和主機(jī)到主機(jī)的連接���,并僅允許特定流向的數(shù)據(jù)通過(guò)�����。
所有的數(shù)據(jù)流路徑都應(yīng)定義��、授權(quán)和記錄��。
增強(qiáng)可用作橫向拓展或直接連接到整個(gè)企業(yè)網(wǎng)絡(luò)中其他端點(diǎn)的網(wǎng)關(guān)系統(tǒng)的安全��。
確保這些網(wǎng)關(guān)系統(tǒng)包含在有限的VLAN中��,并在其他網(wǎng)絡(luò)間構(gòu)建有效的訪問(wèn)控制機(jī)制��。
確保集中式網(wǎng)絡(luò)和存儲(chǔ)設(shè)備的管理端口僅連接有限的VLAN���。
實(shí)現(xiàn)分層訪問(wèn)控制:實(shí)現(xiàn)設(shè)備級(jí)訪問(wèn)控制施–僅允許來(lái)自特定的VLAN和可信IP范圍的訪問(wèn)�。
2. 訪問(wèn)控制對(duì)于可以直接與多個(gè)終端連接的企業(yè)系統(tǒng):交互式登錄需要雙因子身份驗(yàn)證���。
確保授權(quán)用戶與企業(yè)特定人員一一對(duì)應(yīng)�。
如果可能���,不應(yīng)允許“Everyone”���,“ Domain Users”或“Authenticated Users”這樣的用戶組直接訪問(wèn)這些系統(tǒng)。
每個(gè)企業(yè)應(yīng)用程序服務(wù)僅分配唯一的域帳戶并對(duì)其進(jìn)行記錄��。
分配給帳戶的權(quán)限上下文應(yīng)記錄完整����,并根據(jù)最小特權(quán)原則進(jìn)行配置。
企業(yè)具有跟蹤和監(jiān)視與應(yīng)用程序服務(wù)帳戶分配相關(guān)的能力�。
如果可能,盡量不要授予具有本地或交互式登錄權(quán)限的服務(wù)帳戶���。
應(yīng)該明確拒絕服務(wù)帳戶訪問(wèn)網(wǎng)絡(luò)共享和關(guān)鍵數(shù)據(jù)位置的權(quán)限���。
集中式企業(yè)應(yīng)用程序服務(wù)器或設(shè)備進(jìn)行身份驗(yàn)證的帳戶不應(yīng)包含對(duì)整個(gè)企業(yè)下游系統(tǒng)和資源的權(quán)限。
經(jīng)常關(guān)注集中式文件共享訪問(wèn)控制列表及其分配的權(quán)限�。
盡可能限制寫入/修改/完全控制權(quán)限。
3. 監(jiān)測(cè)審計(jì)常態(tài)化檢查安全日志���,關(guān)注企業(yè)級(jí)管理(特權(quán))帳戶和服務(wù)帳戶的異常使用情況����。
失敗的登陸嘗試訪問(wèn)共享文件或目錄遠(yuǎn)程交互式登陸查看網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)異常網(wǎng)絡(luò)活動(dòng)���。
特定端口的連接與該端口應(yīng)用程序標(biāo)準(zhǔn)通信流不相關(guān)��,端口掃描或枚舉相關(guān)的網(wǎng)絡(luò)活動(dòng)����,反復(fù)通過(guò)某端口進(jìn)行連接可用于命令和控制目的。
確保網(wǎng)絡(luò)設(shè)備具有日志記錄功能并審核所有配置更改��。
不斷檢查網(wǎng)絡(luò)設(shè)備配置和規(guī)則集��,以確保通信連接符合授權(quán)規(guī)則�����。
4. 文件分發(fā)在整個(gè)企業(yè)中安裝補(bǔ)丁或反病毒升級(jí)包時(shí)�,請(qǐng)分階段向特定的系統(tǒng)分組分發(fā)(在預(yù)定時(shí)間段內(nèi)分階段進(jìn)行)。
如果將企業(yè)補(bǔ)丁管理或反病毒系統(tǒng)用作惡意軟件的分發(fā)媒介���,則此操作可以最大程度地降低總體影響�����。
監(jiān)測(cè)和評(píng)估整個(gè)企業(yè)中的補(bǔ)丁和反病毒升級(jí)包的完整性�。
確保僅從可信來(lái)源接收這些升級(jí)包���,執(zhí)行文件和數(shù)據(jù)完整性檢查對(duì)企業(yè)應(yīng)用程序分發(fā)的所有數(shù)據(jù)進(jìn)行監(jiān)測(cè)和審計(jì)���。
5. 系統(tǒng)和應(yīng)用加固企業(yè)可以根據(jù)行業(yè)標(biāo)準(zhǔn)或最佳實(shí)踐建議,配置和加固基礎(chǔ)操作系統(tǒng)(OS)和支持組件(如IIS�����、Apache��、SQL)�,并根據(jù)供應(yīng)商提供的最佳實(shí)踐指南實(shí)施應(yīng)用程序級(jí)的安全控制。
常見(jiàn)建議包括:構(gòu)建基于角色的訪問(wèn)控制機(jī)制防止最終用戶繞過(guò)應(yīng)用程序級(jí)安全控制功能如–在本地工作站上禁用防病毒軟件禁用不必要或未使用的功能或軟件實(shí)施強(qiáng)大的應(yīng)用程序日志記錄和審核及時(shí)測(cè)試供應(yīng)商補(bǔ)丁�����,并盡快更新�����。
業(yè)務(wù)恢復(fù)業(yè)務(wù)影響分析(BIA)是應(yīng)急響應(yīng)規(guī)劃和準(zhǔn)備工作的重要組成部分�����。
業(yè)務(wù)影響分析主要輸出兩部分內(nèi)容(與關(guān)鍵任務(wù)/業(yè)務(wù)運(yùn)營(yíng)有關(guān))�,包括:系統(tǒng)組件的特征和分類相互依賴關(guān)系確定企業(yè)的關(guān)鍵信息資產(chǎn)(及其相互依賴關(guān)系)后,如果這些資產(chǎn)受到惡意軟件的影響,則應(yīng)考慮進(jìn)行業(yè)務(wù)恢復(fù)工作�。
為了能夠有效應(yīng)對(duì)這樣的情況,企業(yè)應(yīng)該進(jìn)行以下準(zhǔn)備(并應(yīng)在事件應(yīng)急響應(yīng)演練中確認(rèn)):列出所有關(guān)鍵業(yè)務(wù)系統(tǒng)和應(yīng)用程序清單:版本信息系統(tǒng)或應(yīng)用程序依賴關(guān)系系統(tǒng)分區(qū)�、存儲(chǔ)配置和連接情況資產(chǎn)所有者和聯(lián)系人組織內(nèi)所有重要人員的聯(lián)系方式恢復(fù)團(tuán)隊(duì)的安全通信手段外部支持組織或相關(guān)資源的聯(lián)系方式信息通信服務(wù)供應(yīng)商軟硬件組件供應(yīng)商外部合作伙伴服務(wù)合同編號(hào)清單–用于協(xié)調(diào)服務(wù)供應(yīng)商支持企業(yè)采購(gòu)聯(lián)絡(luò)點(diǎn)關(guān)鍵系統(tǒng)和應(yīng)用程序恢復(fù)所需的ISO或映像文件:操作系統(tǒng)安裝介質(zhì)服務(wù)包或者補(bǔ)丁固件應(yīng)用程序軟件安裝包操作系統(tǒng)(OS)和相關(guān)應(yīng)用程序的許可或激活密鑰企業(yè)網(wǎng)絡(luò)拓?fù)鋱D和架構(gòu)圖系統(tǒng)和應(yīng)用程序的相關(guān)文檔操作清單或操作手冊(cè)的紙質(zhì)副本系統(tǒng)和應(yīng)用程序配置備份文件數(shù)據(jù)備份文件(完整或差異備份)系統(tǒng)和應(yīng)用程序安全性基線、加固清單或準(zhǔn)則系統(tǒng)和應(yīng)用程序完整性測(cè)試和驗(yàn)收清單事件響應(yīng)如果企業(yè)發(fā)現(xiàn)破壞性惡意軟件大規(guī)模爆發(fā)的跡象��,在事件響應(yīng)過(guò)程中�����,應(yīng)當(dāng)采取有效措施遏制其傳播�����,防止企業(yè)網(wǎng)絡(luò)其他部分受到影響�����。
遏制措施包括:確定所有出現(xiàn)異常行為的系統(tǒng)所感染的惡意軟件類型��,惡意軟件并可能通過(guò)以下途徑進(jìn)一步傳播:集中式企業(yè)應(yīng)用程序集中式文件共享受感染系統(tǒng)共用的特權(quán)用戶帳戶網(wǎng)絡(luò)分區(qū)或網(wǎng)絡(luò)邊界通用DNS服務(wù)器根據(jù)惡意軟件可能采用傳播方式����,可以有針對(duì)性地實(shí)施控制措施,以進(jìn)一步減少影響:實(shí)施基于網(wǎng)絡(luò)的訪問(wèn)控制列表ACL�,阻斷感染的系統(tǒng)或程序與其他系統(tǒng)的通信功能�,立即將特定系統(tǒng)或資源隔離����,或通過(guò)沙箱進(jìn)行監(jiān)控為特定的IP地址(或IP范圍)實(shí)施空網(wǎng)絡(luò)路由—使其無(wú)法對(duì)外通信并傳播惡意軟件,利用企業(yè)內(nèi)部DNS—將所有已感染惡意軟件的服務(wù)器和應(yīng)用程序解析為空地址立即禁用可疑的用戶或服務(wù)帳戶刪除可疑文件共享的訪問(wèn)權(quán)限或禁用其共享路徑防止其他系統(tǒng)訪問(wèn)
