七大網(wǎng)絡(luò)安全法寶：阻擊沉睡的僵尸

我們談?wù)摰慕┦��?dāng)然是指受遠(yuǎn)程命令控制的僵尸電腦。這些電腦的數(shù)量會大幅增長，每臺電腦都會向其控制者發(fā)出報(bào)告，最終組成一個僵尸網(wǎng)絡(luò)。

現(xiàn)在，我們正展開一場與僵尸網(wǎng)絡(luò)之間的戰(zhàn)爭。是的，是演繹一場互聯(lián)網(wǎng)世界的“行尸走肉”。不過，這可不是好萊塢美劇，全球的政府安全部門和安全專家們都會加入到這場戰(zhàn)爭中來，對僵尸進(jìn)行獵捕，監(jiān)控和摧毀。最近的案例就有Bredolab(德國高科技犯罪小組破獲)，Rustock(微軟DCU)和Coreflood(FBI)。本文要講的是如何識別并避免當(dāng)今的僵尸威脅。

下面是給企業(yè)的七個小建議：

1.定期檢查機(jī)器/環(huán)境。僵尸可能是潛伏期很久的代碼，它可以等待數(shù)周甚至數(shù)月的時(shí)間才激活。不要主觀臆斷覺得檢查一次沒發(fā)現(xiàn)問題就掉以輕心，這樣很可能會錯過發(fā)現(xiàn)惡意行為的機(jī)會。

2.不要依賴可視檢查或者機(jī)器的檢測結(jié)果。流量監(jiān)測是發(fā)現(xiàn)僵尸程序的最佳方式，因?yàn)閿?shù)據(jù)包已經(jīng)從機(jī)器中發(fā)出，所以不能再被替換。僵尸程序通過rootkit感染電腦，獲取核心級別的特權(quán)，然后控制整個操作系統(tǒng)——隱藏文件，視窗，網(wǎng)絡(luò)流量等。

3.隔離正在接受檢查的機(jī)器或是一些彈出提示。在重新部署網(wǎng)絡(luò)前要完成清理工作。僵尸電腦會為幕后操縱者帶來財(cái)富。最常用的方式是通過流氓安全軟件和彈出的視窗告訴用戶要購買安全軟件。顯然，之所以發(fā)生這種情況是因?yàn)闈摲�的僵尸已�?jīng)下載了這樣的軟件以達(dá)到賺錢目的。僵尸會快速地感染同一個網(wǎng)絡(luò)中的其他本地電腦，因此非常有必要及時(shí)對已感染機(jī)器進(jìn)行隔離直到僵尸程序清理干凈為止。Fortinet的FortiCleanupRootkit&Malware免費(fèi)清理工具(www.fortiguard.com/antivirus/malware_removal.html)。

4.流量評估。僵尸程序通常有一個重復(fù)性的操作，即對同一個端口(通常是HTTP)上的相同服務(wù)器發(fā)出響應(yīng)。如果你發(fā)現(xiàn)總是有攜帶HTTP請求的數(shù)據(jù)流發(fā)送到相同IP，特別是在沒有使用瀏覽器的時(shí)候，那么應(yīng)該是系統(tǒng)感染了僵尸病毒。

5.監(jiān)測輸出流量。入侵防御可以防止僵尸病毒感染網(wǎng)絡(luò)。這一技術(shù)也可以用來查探僵尸病毒。即便有機(jī)器感染了僵尸，檢測并阻止僵尸程序的輸出流量也可以有效減少威脅。這樣一來，僵尸雖未除，但是卻不能再接收命令或是發(fā)送信息，如竊取銀行憑證等。

6.避免感染，抵御攻擊。僵尸病毒可通過郵件附件，惡意鏈接，U盤和PDF文檔傳播。要禁用自動運(yùn)行。通常，感染是通過打開文件或鏈接來觸發(fā)。所以要在打開鏈接前先看清楚鏈接。鏈接是通過郵箱，社交網(wǎng)絡(luò)還是即時(shí)通訊軟件發(fā)送其實(shí)沒有什么關(guān)系——因?yàn)樵�理都是相同的。PDF，DOC，XLS文件也可以成為傳染源。在打開帶郵件附件或是鏈接前，花一點(diǎn)點(diǎn)時(shí)間檢查一下。

7.部署統(tǒng)一威脅管理。

反病毒檢查有助于攔截二進(jìn)制僵尸代碼，避免其操縱系統(tǒng)。

入侵防御可避免來自網(wǎng)頁的惡意代碼在系統(tǒng)上種植僵尸病毒。

網(wǎng)頁過濾可以在惡意代碼發(fā)送到瀏覽器之前就攔截惡意URL鏈接。

反垃圾郵件可以標(biāo)記出攜帶附件和鏈接的惡意郵件。

應(yīng)用控制可以阻止僵尸程序向幕后控制者發(fā)送信息。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]