企業(yè)網(wǎng)絡感染惡意軟件可能會造成關鍵信息系統(tǒng)或數(shù)據(jù)的破壞，直接威脅正常業(yè)務的運行。為了應對這樣的情況，企業(yè)應該提前做好準備，構建惡意軟件的檢測和響應能力。

公司主營業(yè)務：成都網(wǎng)站設計、成都網(wǎng)站建設、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)公司是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)公司推出環(huán)縣免費做網(wǎng)站回饋大家。

惡意軟件的擴散途徑

惡意軟件可能會通過通信工具傳播，如通過電子郵件或即時通信軟件，也可以通過惡意網(wǎng)站或P2P連接傳播，還可以通過系統(tǒng)漏洞傳播。惡意軟件一般具備在大型企業(yè)網(wǎng)絡快速傳播的能力，對于企業(yè)而言，查清惡意軟件的感染途徑對于事件處理具有重要作用。有利于惡意軟件傳播的系統(tǒng)主要是企業(yè)應用程序，尤其是那些直接與多個主機和終端連接并對其產生影響的應用程序，包括：

• 補丁管理系統(tǒng)
• 資產管理系統(tǒng)
• 遠程協(xié)助或遠程管理軟件
• 防病毒系統(tǒng)
• 系統(tǒng)管理員或網(wǎng)絡管理員的工作站
• 集中式備份服務器
• 集中式文件共享服務器

網(wǎng)絡攻擊者雖然雖然與惡意軟件的行為模式不盡相同，但也可能會破壞企業(yè)其他信息資源，從而影響企業(yè)關鍵數(shù)據(jù)和應用程序的可用性，如：

• 集中式存儲設備，潛在風險為直接訪問磁盤分區(qū)和數(shù)據(jù)倉庫;
• 網(wǎng)絡設備，潛在風險–向路由表中注入虛假路由，從路由表中刪除特定路由，通過刪除或修改配置降低關鍵網(wǎng)絡資源的可用性。

安全措施建議

最常用的策略是增加企業(yè)對惡意軟件的防護能力，對易受惡意軟件攻擊的企業(yè)信息組件和系統(tǒng)，可以看展必要安全評估，并部署必要的安全防護措施。

1. 網(wǎng)絡安全

在企業(yè)網(wǎng)絡中進行必要的網(wǎng)絡分段和分區(qū)：

• 僅允許網(wǎng)絡的訪問控制列表(ACL)中配置為“允許”的端口和協(xié)議進行服務器到主機和主機到主機的連接，并僅允許特定流向的數(shù)據(jù)通過。
• 所有的數(shù)據(jù)流路徑都應定義、授權和記錄。
• 增強可用作橫向拓展或直接連接到整個企業(yè)網(wǎng)絡中其他端點的網(wǎng)關系統(tǒng)的安全。
• 確保這些網(wǎng)關系統(tǒng)包含在有限的VLAN中，并在其他網(wǎng)絡間構建有效的訪問控制機制。
• 確保集中式網(wǎng)絡和存儲設備的管理端口僅連接有限的VLAN。

實現(xiàn)分層訪問控制：實現(xiàn)設備級訪問控制施–僅允許來自特定的VLAN和可信IP范圍的訪問。

2. 訪問控制

對于可以直接與多個終端連接的企業(yè)系統(tǒng)：

• 交互式登錄需要雙因子身份驗證。
• 確保授權用戶與企業(yè)特定人員一一對應。

如果可能，不應允許“Everyone”，“ Domain Users”或“Authenticated Users”這樣的用戶組直接訪問這些系統(tǒng)。

每個企業(yè)應用程序服務僅分配唯一的域帳戶并對其進行記錄。

分配給帳戶的權限上下文應記錄完整，并根據(jù)最小特權原則進行配置。

企業(yè)具有跟蹤和監(jiān)視與應用程序服務帳戶分配相關的能力。

如果可能，盡量不要授予具有本地或交互式登錄權限的服務帳戶。

應該明確拒絕服務帳戶訪問網(wǎng)絡共享和關鍵數(shù)據(jù)位置的權限。

集中式企業(yè)應用程序服務器或設備進行身份驗證的帳戶不應包含對整個企業(yè)下游系統(tǒng)和資源的權限。

經(jīng)常關注集中式文件共享訪問控制列表及其分配的權限。

盡可能限制寫入/修改/完全控制權限。

3. 監(jiān)測審計

常態(tài)化檢查安全日志，關注企業(yè)級管理(特權)帳戶和服務帳戶的異常使用情況。

• 失敗的登陸嘗試
• 訪問共享文件或目錄
• 遠程交互式登陸

查看網(wǎng)絡流量數(shù)據(jù)以發(fā)現(xiàn)異常網(wǎng)絡活動。

特定端口的連接與該端口應用程序標準通信流不相關，端口掃描或枚舉相關的網(wǎng)絡活動，反復通過某端口進行連接可用于命令和控制目的。

確保網(wǎng)絡設備具有日志記錄功能并審核所有配置更改。

不斷檢查網(wǎng)絡設備配置和規(guī)則集，以確保通信連接符合授權規(guī)則。

4. 文件分發(fā)

在整個企業(yè)中安裝補丁或反病毒升級包時，請分階段向特定的系統(tǒng)分組分發(fā)(在預定時間段內分階段進行)。

如果將企業(yè)補丁管理或反病毒系統(tǒng)用作惡意軟件的分發(fā)媒介，則此操作可以最大程度地降低總體影響。

監(jiān)測和評估整個企業(yè)中的補丁和反病毒升級包的完整性。

確保僅從可信來源接收這些升級包，

執(zhí)行文件和數(shù)據(jù)完整性檢查

對企業(yè)應用程序分發(fā)的所有數(shù)據(jù)進行監(jiān)測和審計。

5. 系統(tǒng)和應用加固

企業(yè)可以根據(jù)行業(yè)標準或最佳實踐建議，配置和加固基礎操作系統(tǒng)(OS)和支持組件(如IIS、Apache、SQL)，并根據(jù)供應商提供的最佳實踐指南實施應用程序級的安全控制。常見建議包括：

• 構建基于角色的訪問控制機制
• 防止最終用戶繞過應用程序級安全控制功能
• 如–在本地工作站上禁用防病毒軟件
• 禁用不必要或未使用的功能或軟件
• 實施強大的應用程序日志記錄和審核
• 及時測試供應商補丁，并盡快更新。

業(yè)務恢復

業(yè)務影響分析(BIA)是應急響應規(guī)劃和準備工作的重要組成部分。業(yè)務影響分析主要輸出兩部分內容(與關鍵任務/業(yè)務運營有關)，包括：

• 系統(tǒng)組件的特征和分類
• 相互依賴關系

確定企業(yè)的關鍵信息資產(及其相互依賴關系)后，如果這些資產受到惡意軟件的影響，則應考慮進行業(yè)務恢復工作。為了能夠有效應對這樣的情況，企業(yè)應該進行以下準備(并應在事件應急響應演練中確認)：

列出所有關鍵業(yè)務系統(tǒng)和應用程序清單：

• 版本信息
• 系統(tǒng)或應用程序依賴關系
• 系統(tǒng)分區(qū)、存儲配置和連接情況
• 資產所有者和聯(lián)系人
• 組織內所有重要人員的聯(lián)系方式
• 恢復團隊的安全通信手段
• 外部支持組織或相關資源的聯(lián)系方式信息
• 通信服務供應商
• 軟硬件組件供應商
• 外部合作伙伴
• 服務合同編號清單–用于協(xié)調服務供應商支持
• 企業(yè)采購聯(lián)絡點

關鍵系統(tǒng)和應用程序恢復所需的ISO或映像文件：

• 操作系統(tǒng)安裝介質
• 服務包或者補丁
• 固件
• 應用程序軟件安裝包
• 操作系統(tǒng)(OS)和相關應用程序的許可或激活密鑰
• 企業(yè)網(wǎng)絡拓撲圖和架構圖
• 系統(tǒng)和應用程序的相關文檔
• 操作清單或操作手冊的紙質副本
• 系統(tǒng)和應用程序配置備份文件
• 數(shù)據(jù)備份文件(完整或差異備份)
• 系統(tǒng)和應用程序安全性基線、加固清單或準則
• 系統(tǒng)和應用程序完整性測試和驗收清單

事件響應

如果企業(yè)發(fā)現(xiàn)破壞性惡意軟件大規(guī)模爆發(fā)的跡象，在事件響應過程中，應當采取有效措施遏制其傳播，防止企業(yè)網(wǎng)絡其他部分受到影響。遏制措施包括：

確定所有出現(xiàn)異常行為的系統(tǒng)所感染的惡意軟件類型，惡意軟件并可能通過以下途徑進一步傳播：

• 集中式企業(yè)應用程序
• 集中式文件共享
• 受感染系統(tǒng)共用的特權用戶帳戶
• 網(wǎng)絡分區(qū)或網(wǎng)絡邊界
• 通用DNS服務器

根據(jù)惡意軟件可能采用傳播方式，可以有針對性地實施控制措施，以進一步減少影響：

• 實施基于網(wǎng)絡的訪問控制列表ACL，阻斷感染的系統(tǒng)或程序與其他系統(tǒng)的通信功能，
• 立即將特定系統(tǒng)或資源隔離，或通過沙箱進行監(jiān)控
• 為特定的IP地址(或IP范圍)實施空網(wǎng)絡路由—使其無法對外通信并傳播惡意軟件，
• 利用企業(yè)內部DNS—將所有已感染惡意軟件的服務器和應用程序解析為空地址
• 立即禁用可疑的用戶或服務帳戶
• 刪除可疑文件共享的訪問權限或禁用其共享路徑防止其他系統(tǒng)訪問

本文題目：企業(yè)感染惡意軟件的處理建議
標題網(wǎng)址：http://uogjgqi.cn/article/codehpj.html