再也不做“肉鸡”管理员,干好这5项工作

在这个互联网信息大爆炸的时代,企业对IT管理员的要求越来越高,一不小心,各种“密码泄漏事件”、“DDOS攻击事件”就会层出不穷,严重影响企业的发展。如果你不想成为“肉鸡”管理员,那么请干好下面的5项工作:文档化、诊断、限制、清除、补丁更新。

1. 文档化

如果你要有效地管理IT风险,需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力,那么一个对不同终端,网络访问,数据管理以及未知用户都有详细定义的好的计划是相当有必要的。

2. 诊断

俗话说,治病一半的功劳在于诊断。所以,感染点在哪里?这是一个对于恶意软件来说价值$ 64,000的问题。

使用加密,快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”,很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机,一定要加紧调查并尽量控制范围。提示:Windows客户端被感染的可能性比较大,但也可能是你的Windows服务器。

使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码,以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具,OmniPeek还可以提供额外的视图以查看网络层面发生的事情,这种更高级别的视图将让管理员受益匪浅。

此外,你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术,以有效地追踪恶意软件感染和进行肉鸡移除。

3. 限制

如果你足够了解恶意软件的感染,可以运用一些应急的网络访问控制列表或防火墙规则来阻止恶意软件的入站或出站网络流量,直到将它们清理掉。

你还可以采用白名单的方法,加上本地策略或组策略作为基本工具来对抗恶意软件感染,更可以使用Bit9提倡的“积极安全控制策略”作为高级工具进行对抗。

4. 清除

只是运行一个简单的防病毒扫描是无法将肉鸡移除的。你甚至无法检测到恶意软件的异常行为。即使可以检测,恶意代码也往往与操作系统/注册表相互交织,使主流的杀毒软件不知道如何进行处理。

你所能做的最好的措施之一就是运行多个反恶意软件工具,尤其是像Webroot和Malwarebytes这样的对更高级威胁相对了解的工具。你也可能除了重新安装操作系统之外毫无选择。

此外,在重新安装操作系统时,还要注意数据丢失的风险。在我处理过的项目中,几乎没有任何内部安全评估,也没有找到位于工作站上的敏感信息的备份副本。

5. 补丁更新

对于恶意软件的感染,最大的敌人莫过于用户没有对Java、Adobe和相关的第三方软件进行定期更新。其次是Windows XP即将退休。

问题是,对企业的系统进行更新可以消除威胁,至少可以防止恶意软件的传播。所以现在需要开始考虑第三方软件的补丁管理问题,以至于在真正出现问题时你可以有所防备。

原文发布于微信公众号 - java一日一条(mjx_java)

原文发表时间:2016-08-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞,从而实现对受害者系统“悄无声息”地...

23780
来自专栏FreeBuf

你家路由器“有趣”的24小时 | 路由器真的安全吗?(含视频)

想必大家都知道最近美国东海岸地区的网站遭遇了一次大规模的DDoS攻击,此次的攻击导致大量用户无法正常访问网站的服务。 根据安全研究专家的分析结果,此次DDoS攻...

22770
来自专栏FreeBuf

一场屠戮MongoDB的盛宴反思 | 超33000个数据库遭遇入侵勒索

许多人没有想到,去年12月一件不起眼的小事,在新年伊始却演变成了一场屠杀。如今,受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗,一个接一个倒下。 截止本...

31980
来自专栏人人都是极客

做嵌入式开发知道这些,你才看起来像个高手!

做嵌入式系统开发,经常要接触硬件,需要对数字电路和模拟电路要有一定的了解,这样才能深入的研究下去。下面我们简单地介绍一下嵌入式开发中的一些硬件相关的概念。

16220
来自专栏信安之路

APT攻防之关于后门那些事

这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。

19300
来自专栏FreeBuf

安全科普:什么是中间人攻击(MITM)

你拿着刚买的咖啡,连上了咖啡店的WiFi,然后开始工作,这样的动作在之前已经重复了无数遍,一切都和谐无比。但你不知道的是有人正在监视你,他们监视着你的各种网络活...

22890
来自专栏FreeBuf

保护物联网安全的6条基本原则,你做到了几条?

随着物联网深入普及,点进来看这篇文章的你肯定也听说过各种关于“物联网宿命”的预言。任何联网的设备,例如,监控摄像、路由器、数字视频记录器、可穿戴设备、智能灯等都...

207100
来自专栏FreeBuf

勒索软件终结者:勒索软件,今天叔叔要教导你一些做人的道理!| 原创工具

勒索软件终结者下载页面地址: http://www.pinchins.cn/ 哦对了,我们这里还收集所有勒索软件解密工具,以下是链接地址: http://www...

27670
来自专栏科技前线

假冒App引发的新网络钓鱼威胁

网络钓鱼(即假的,恶意的电子邮件)常常被人鄙视。在全球聚焦于网上的“零日漏洞攻击”(zero days)、网络“武器”和“动能”网络攻击的时候,网络钓鱼电子邮件...

14650
来自专栏FreeBuf

跨平台恶意软件Adwind卷土重来,这一次倒霉的是航空航天领域

网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利...

30550

扫码关注云+社区

领取腾讯云代金券