七大網(wǎng)絡安全法寶：阻擊沉睡的僵尸

我們談論的僵尸當然是指受遠程命令控制的僵尸電腦。這些電腦的數(shù)量會大幅增長，每臺電腦都會向其控制者發(fā)出報告，最終組成一個僵尸網(wǎng)絡。

現(xiàn)在，我們正展開一場與僵尸網(wǎng)絡之間的戰(zhàn)爭。是的，是演繹一場互聯(lián)網(wǎng)世界的“行尸走肉”。不過，這可不是好萊塢美劇，全球的政府安全部門和安全專家們都會加入到這場戰(zhàn)爭中來，對僵尸進行獵捕，監(jiān)控和摧毀。最近的案例就有Bredolab(德國高科技犯罪小組破獲)，Rustock(微軟DCU)和Coreflood(FBI)。本文要講的是如何識別并避免當今的僵尸威脅。

下面是給企業(yè)的七個小建議：

1.定期檢查機器/環(huán)境。僵尸可能是潛伏期很久的代碼，它可以等待數(shù)周甚至數(shù)月的時間才激活。不要主觀臆斷覺得檢查一次沒發(fā)現(xiàn)問題就掉以輕心，這樣很可能會錯過發(fā)現(xiàn)惡意行為的機會。

2.不要依賴可視檢查或者機器的檢測結果。流量監(jiān)測是發(fā)現(xiàn)僵尸程序的最佳方式，因為數(shù)據(jù)包已經(jīng)從機器中發(fā)出，所以不能再被替換。僵尸程序通過rootkit感染電腦，獲取核心級別的特權，然后控制整個操作系統(tǒng)——隱藏文件，視窗，網(wǎng)絡流量等。

3.隔離正在接受檢查的機器或是一些彈出提示。在重新部署網(wǎng)絡前要完成清理工作。僵尸電腦會為幕后操縱者帶來財富。最常用的方式是通過流氓安全軟件和彈出的視窗告訴用戶要購買安全軟件。顯然，之所以發(fā)生這種情況是因為潛伏的僵尸已經(jīng)下載了這樣的軟件以達到賺錢目的。僵尸會快速地感染同一個網(wǎng)絡中的其他本地電腦，因此非常有必要及時對已感染機器進行隔離直到僵尸程序清理干凈為止。Fortinet的FortiCleanupRootkit&Malware免費清理工具(www.fortiguard.com/antivirus/malware_removal.html)。

4.流量評估。僵尸程序通常有一個重復性的操作，即對同一個端口(通常是HTTP)上的相同服務器發(fā)出響應。如果你發(fā)現(xiàn)總是有攜帶HTTP請求的數(shù)據(jù)流發(fā)送到相同IP，特別是在沒有使用瀏覽器的時候，那么應該是系統(tǒng)感染了僵尸病毒。

5.監(jiān)測輸出流量。入侵防御可以防止僵尸病毒感染網(wǎng)絡。這一技術也可以用來查探僵尸病毒。即便有機器感染了僵尸，檢測并阻止僵尸程序的輸出流量也可以有效減少威脅。這樣一來，僵尸雖未除，但是卻不能再接收命令或是發(fā)送信息，如竊取銀行憑證等。

6.避免感染，抵御攻擊。僵尸病毒可通過郵件附件，惡意鏈接，U盤和PDF文檔傳播。要禁用自動運行。通常，感染是通過打開文件或鏈接來觸發(fā)。所以要在打開鏈接前先看清楚鏈接。鏈接是通過郵箱，社交網(wǎng)絡還是即時通訊軟件發(fā)送其實沒有什么關系——因為原理都是相同的。PDF，DOC，XLS文件也可以成為傳染源。在打開帶郵件附件或是鏈接前，花一點點時間檢查一下。

7.部署統(tǒng)一威脅管理。

反病毒檢查有助于攔截二進制僵尸代碼，避免其操縱系統(tǒng)。

入侵防御可避免來自網(wǎng)頁的惡意代碼在系統(tǒng)上種植僵尸病毒。

網(wǎng)頁過濾可以在惡意代碼發(fā)送到瀏覽器之前就攔截惡意URL鏈接。

反垃圾郵件可以標記出攜帶附件和鏈接的惡意郵件。

應用控制可以阻止僵尸程序向幕后控制者發(fā)送信息。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]