专栏首页FreeBuf企业感染恶意软件的处理建议

企业感染恶意软件的处理建议

企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力。

恶意软件的扩散途径

恶意软件可能会通过通信工具传播,如通过电子邮件或即时通信软件,也可以通过恶意网站或P2P连接传播,还可以通过系统漏洞传播。恶意软件一般具备在大型企业网络快速传播的能力,对于企业而言,查清恶意软件的感染途径对于事件处理具有重要作用。有利于恶意软件传播的系统主要是企业应用程序,尤其是那些直接与多个主机和终端连接并对其产生影响的应用程序,包括:

补丁管理系统 资产管理系统 远程协助或远程管理软件 防病毒系统 系统管理员或网络管理员的工作站 集中式备份服务器 集中式文件共享服务器

网络攻击者虽然虽然与恶意软件的行为模式不尽相同,但也可能会破坏企业其他信息资源,从而影响企业关键数据和应用程序的可用性,如:

集中式存储设备,潜在风险为直接访问磁盘分区和数据仓库; 网络设备,潜在风险—向路由表中注入虚假路由,从路由表中删除特定路由,通过删除或修改配置降低关键网络资源的可用性。

安全措施建议

最常用的策略是增加企业对恶意软件的防护能力,对易受恶意软件攻击的企业信息组件和系统,可以看展必要安全评估,并部署必要的安全防护措施。

网络安全

在企业网络中进行必要的网络分段和分区

仅允许网络的访问控制列表(ACL)中配置为“允许”的端口和协议进行服务器到主机和主机到主机的连接,并仅允许特定流向的数据通过。

所有的数据流路径都应定义、授权和记录。

增强可用作横向拓展或直接连接到整个企业网络中其他端点的网关系统的安全。

确保这些网关系统包含在有限的VLAN中,并在其他网络间构建有效的访问控制机制。

确保集中式网络和存储设备的管理端口仅连接有限的VLAN。

实现分层访问控制

实现设备级访问控制施—仅允许来自特定的VLAN和可信IP范围的访问。

访问控制

对于可以直接与多个终端连接的企业系统:

交互式登录需要双因子身份验证。

确保授权用户与企业特定人员一一对应。

如果可能,不应允许“Everyone”,“ Domain Users”或“Authenticated Users”这样的用户组直接访问这些系统。

每个企业应用程序服务仅分配唯一的域帐户并对其进行记录。

分配给帐户的权限上下文应记录完整,并根据最小特权原则进行配置。

企业具有跟踪和监视与应用程序服务帐户分配相关的能力。

如果可能,尽量不要授予具有本地或交互式登录权限的服务帐户。

应该明确拒绝服务帐户访问网络共享和关键数据位置的权限。

集中式企业应用程序服务器或设备进行身份验证的帐户不应包含对整个企业下游系统和资源的权限。

经常关注集中式文件共享访问控制列表及其分配的权限。

尽可能限制写入/修改/完全控制权限。

监测审计

常态化检查安全日志,关注企业级管理(特权)帐户和服务帐户的异常使用情况。

失败的登陆尝试

访问共享文件或目录

远程交互式登陆

查看网络流量数据以发现异常网络活动。

特定端口的连接与该端口应用程序标准通信流不相关,

端口扫描或枚举相关的网络活动

反复通过某端口进行连接可用于命令和控制目的。

确保网络设备具有日志记录功能并审核所有配置更改。

不断检查网络设备配置和规则集,以确保通信连接符合授权规则

文件分发

在整个企业中安装补丁或反病毒升级包时,请分阶段向特定的系统分组分发(在预定时间段内分阶段进行)。

如果将企业补丁管理或反病毒系统用作恶意软件的分发媒介,则此操作可以最大程度地降低总体影响。

监测和评估整个企业中的补丁和反病毒升级包的完整性。

确保仅从可信来源接收这些升级包,

执行文件和数据完整性检查

对企业应用程序分发的所有数据进行监测和审计。

系统和应用加固

企业可以根据行业标准或最佳实践建议,配置和加固基础操作系统(OS)和支持组件(如IIS、Apache、SQL),并根据供应商提供的最佳实践指南实施应用程序级的安全控制。常见建议包括:

构建基于角色的访问控制机制

防止最终用户绕过应用程序级安全控制功能,

如–在本地工作站上禁用防病毒软件

禁用不必要或未使用的功能或软件

实施强大的应用程序日志记录和审核

及时测试供应商补丁,并尽快更新。

业务恢复

业务影响分析(BIA)是应急响应规划和准备工作的重要组成部分。业务影响分析主要输出两部分内容(与关键任务/业务运营有关),包括:

系统组件的特征和分类 相互依赖关系

确定企业的关键信息资产(及其相互依赖关系)后,如果这些资产受到恶意软件的影响,则应考虑进行业务恢复工作。为了能够有效应对这样的情况,企业应该进行以下准备(并应在事件应急响应演练中确认):

列出所有关键业务系统和应用程序清单:

版本信息 系统或应用程序依赖关系 系统分区、存储配置和连接情况 资产所有者和联系人

组织内所有重要人员的联系方式

恢复团队的安全通信手段

外部支持组织或相关资源的联系方式信息

通信服务供应商 软硬件组件供应商 外部合作伙伴

服务合同编号清单—用于协调服务供应商支持

企业采购联络点

关键系统和应用程序恢复所需的ISO或映像文件:

操作系统安装介质 服务包或者补丁 固件 应用程序软件安装包

操作系统(OS)和相关应用程序的许可或激活密钥

企业网络拓扑图和架构图

系统和应用程序的相关文档

操作清单或操作手册的纸质副本

系统和应用程序配置备份文件

数据备份文件(完整或差异备份)

系统和应用程序安全性基线、加固清单或准则

系统和应用程序完整性测试和验收清单

事件响应

如果企业发现破坏性恶意软件大规模爆发的迹象,在事件响应过程中,应当采取有效措施遏制其传播,防止企业网络其他部分受到影响。遏制措施包括:

确定所有出现异常行为的系统所感染的恶意软件类型,恶意软件并可能通过以下途径进一步传播:

集中式企业应用程序 集中式文件共享 受感染系统共用的特权用户帐户 网络分区或网络边界 通用DNS服务器

根据恶意软件可能采用传播方式,可以有针对性地实施控制措施,以进一步减少影响:

实施基于网络的访问控制列表ACL,阻断感染的系统或程序与其他系统的通信功能, 立即将特定系统或资源隔离,或通过沙箱进行监控 为特定的IP地址(或IP范围)实施空网络路由—使其无法对外通信并传播恶意软件, 利用企业内部DNS—将所有已感染恶意软件的服务器和应用程序解析为空地址 立即禁用可疑的用户或服务帐户 删除可疑文件共享的访问权限或禁用其共享路径防止其他系统访问

*本文原创作者:xu5eii,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:xu5eii

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 在苹果应用商店的17个应用程序中发现iOS Clicker Trojan

    Wandera Threat Labs研究人员发现有十多个iOS应用程序感染了Clicker Trojan(点击木马)恶意代码并在苹果的应用商店传播。其使用和安...

    FB客服
  • 2019年移动恶意软件总结报告

    2019年,卡巴斯基移动端检测到3503952恶意安装包,69777个新的手机银行木马,68362个新的手机勒索木马。2019年,有两个趋势特别突出:攻击者对用...

    FB客服
  • 虚假应用潜入TOP100:论恶意软件如何逃过检测

    Google play和ios应用商店对试图诱骗用户下载广告或恶意软件的应用有很严密的检测。最近,我们还发现了隐藏在应用商店合法产品中的恶意应用程序。这些应用诱...

    FB客服
  • Unpaired Image Enhancement Featuring Reinforcement-Learning-Controlled Image Editing Software

    论文题目: Unpaired Image Enhancement——Featuring Reinforcement-Learning-Controlled Im...

    Natalia_ljq
  • Nest系列教程之入门篇

    Nest 用于构建高效且可扩展的服务器端应用程序的渐进式 Node.js 框架,深受 Angular 的启发。

    阿宝哥
  • 当Kotlin遇见数据结构丨实现链式存储的二叉树并遍历

    简单二叉树的创建分为三部分: 新建节点、新建树、给节点和树赋值并关联,下面进入编码阶段:

    码脑
  • 机器学习帮助探测网络漏洞

    据麻省理工《技术评论》2016年8月报道,美国亚利桑那州立大学的研究人员发现了一种利用机器学习来研究黑客论坛和暗网络及深网络市场的方法,从而可探测网络漏洞。 2...

    人工智能快报
  • 你真的了解回流和重绘吗?(面试必问)

    回流和重绘可以说是每一个web开发者都经常听到的两个词语,我也不例外,可是我之前一直不是很清楚这两步具体做了什么事情。最近由于部门内部要做分享,所以对其进行了一...

    Jean
  • 你真的了解回流和重绘吗

    回流和重绘可以说是每一个web开发者都经常听到的两个词语,我也不例外,可是一直不是很清楚这两步具体做了什么事情。最近由于部门内部要做分享,所以对其进行了一些研究...

    嘿嘿嘿
  • 你真的了解回流和重绘吗

    最近有空对其进行了一些研究,看了一些博客和书籍,整理了一些内容并且结合一些例子,写了这篇文章,希望可以帮助到大家。

    嘿嘿嘿

扫码关注云+社区

领取腾讯云代金券