信息安全技術(shù)惡意軟件事件預(yù)防和處理指南

惡意軟件事件預(yù)防和處理指南件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。默認(rèn)拒絕denybydefault面搜索引擎和點(diǎn)對點(diǎn)文件共享服務(wù))的用戶應(yīng)用程序，以及不需要的或者與機(jī)構(gòu)提供有重復(fù)功能(例瀏覽器)是需要的，同時(shí)為配置和維護(hù)軟件列出高級別的要求(比如軟件更新頻率，系統(tǒng)掃描范圍和遠(yuǎn)程系統(tǒng)(例如遠(yuǎn)程辦公)。務(wù)蠕蟲，郵件群發(fā)蠕蟲以及有容易辨識特性(例如主題，附件文件名)的病毒。d)通過應(yīng)用程序協(xié)議分析檢測并阻止一些未知威脅。e)可用流量來辨識蠕蟲活動和其他形式的惡意軟件，以及像后門和電子郵件生成器這樣的攻擊f)可以通過配置網(wǎng)絡(luò)設(shè)備去限制個(gè)別主機(jī)或服務(wù)使用的帶寬的最大值，可阻止不尋常的網(wǎng)絡(luò)流c)產(chǎn)品應(yīng)提供調(diào)節(jié)能力，這樣可提高準(zhǔn)確性；可阻止那些具有特征庫性質(zhì)的活動，以及阻止那些不可能造成誤報(bào)符合非正常條件定義的活動。d)非正常條件定義允許使用或禁止使用攔截功能。e)可以調(diào)整基于主機(jī)的IPS軟件去擁有高度的檢測準(zhǔn)確性，這將有助于阻止防病毒軟件和其他為預(yù)防外部威脅，組織通常在其網(wǎng)絡(luò)周邊部署一個(gè)或多量與一套規(guī)則來比較進(jìn)行工作，每一個(gè)規(guī)則通常都詳細(xì)說明了一種網(wǎng)絡(luò)或應(yīng)用程序協(xié)議以及信息的來為預(yù)防惡意軟件事件，機(jī)構(gòu)應(yīng)該實(shí)施默認(rèn)拒絕規(guī)則集，為降低蠕蟲的傳播速度，考慮對外部系統(tǒng)(例如遠(yuǎn)程辦公的家用系統(tǒng)，商業(yè)合作伙伴的系統(tǒng))可以發(fā)送到機(jī)構(gòu)網(wǎng)絡(luò)的這種類型的網(wǎng)絡(luò)通信制定限制措施機(jī)構(gòu)應(yīng)該確保他們的網(wǎng)絡(luò)防火墻進(jìn)行出口和入口過濾。為使每一條規(guī)則用的規(guī)則還允許進(jìn)行的任何活動，機(jī)構(gòu)應(yīng)該定期審查網(wǎng)絡(luò)防火墻規(guī)則集。網(wǎng)絡(luò)防火墻經(jīng)常執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能，這是將一個(gè)網(wǎng)絡(luò)上的地址映射到另一個(gè)網(wǎng)絡(luò)上地址的過程。在阻止基于互聯(lián)網(wǎng)主機(jī)的網(wǎng)絡(luò)NAT有地址映射成連接到互聯(lián)網(wǎng)的網(wǎng)絡(luò)中的一個(gè)或多個(gè)公共地址，使外部主機(jī)不能啟動直接與內(nèi)部主機(jī)的在防病毒軟件和入侵預(yù)防軟件不能監(jiān)測以網(wǎng)絡(luò)服務(wù)為攻擊目標(biāo)的新的重大惡意軟件威脅時(shí)。機(jī)構(gòu)應(yīng)該為阻止基于網(wǎng)絡(luò)服務(wù)的惡意軟件事件發(fā)生迅速增加或更改防火墻規(guī)則。防火墻規(guī)則有助于阻止依賴特定IP地址的惡意軟件的侵害，添加禁止涉及到外部主機(jī)IP地址的任何活動這一規(guī)則可以阻止特為預(yù)防惡意軟件事件，機(jī)構(gòu)應(yīng)該讓基于主機(jī)防火墻對進(jìn)行的話，機(jī)構(gòu)也應(yīng)該對流出的網(wǎng)絡(luò)信息實(shí)施默認(rèn)拒絕規(guī)則網(wǎng)頁和電子郵件中的潛在隱私問題等功能。整合了這些功能的基于主機(jī)防火墻不僅在預(yù)防多種類型的惡意軟件事件方面很有效，而且在阻止惡意軟件感染進(jìn)行傳播方面同樣有效。多種類型惡意軟件預(yù)防功能的工作站中的基于主機(jī)防火墻通常為惡意軟件威脅緩解提供了最好的單一主機(jī)的技術(shù)控制，只要它被正確配置并在任何時(shí)候都保證更新最新的病毒特征庫和軟件。為了預(yù)防網(wǎng)絡(luò)服務(wù)蠕蟲和連接并攻擊它們的其他威脅，可鑒于防火墻平常限制建立在組合型服務(wù)和主機(jī)IP地址基礎(chǔ)上的出入網(wǎng)絡(luò)活動，路由器通常以更廣泛的，更少顆粒的規(guī)則來配置。通常情況下，機(jī)構(gòu)使用一個(gè)或者多個(gè)將機(jī)構(gòu)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)的路由器；它們被稱為互聯(lián)網(wǎng)邊界路由器。這種路由器一般被部署在機(jī)構(gòu)主要防火墻的前部，同時(shí)對網(wǎng)絡(luò)活動做一些基本檢查，比如出入數(shù)據(jù)的過濾，這樣在阻止基于網(wǎng)絡(luò)的蠕蟲接觸到防火墻方面有一定幫助。雖然防火墻也應(yīng)該阻止這樣的蠕蟲，但讓互聯(lián)網(wǎng)邊界路由器這樣做可以減輕防火墻的負(fù)擔(dān)。在重大蠕蟲事件發(fā)生期間，為阻止進(jìn)入的蠕蟲活動機(jī)構(gòu)可能需要重新路由器，這樣防火墻就不會超負(fù)荷。在內(nèi)部網(wǎng)中的路由器也可能為阻止網(wǎng)絡(luò)間傳播的某一特定服務(wù)活動而被重新配置；這可以阻止一個(gè)網(wǎng)絡(luò)中的受感染主機(jī)傳播惡意軟件到其他網(wǎng)絡(luò)。當(dāng)需要幫助遏制蠕蟲感染時(shí)，機(jī)構(gòu)應(yīng)很快準(zhǔn)備更改ACL。6.4.6應(yīng)用程序設(shè)置以及WORD等。在默認(rèn)情況下，應(yīng)用程序以功能性超可能的應(yīng)用程序攻擊向量，機(jī)構(gòu)應(yīng)該考慮禁用不需要的應(yīng)用程序特性和功能，尤其是那些經(jīng)常被惡意軟件利用的。機(jī)構(gòu)也應(yīng)考慮辨識哪些是一般惡意軟件繁殖方式的應(yīng)用程序(比如Web瀏覽器，電子郵件客戶端和服務(wù)器),同時(shí)考慮配置它們?nèi)ミ^濾一些內(nèi)容并禁止可能是帶有惡意的一些活動。為預(yù)防惡例如，阻止具有和惡意代碼(比如.pif,.vbs)關(guān)聯(lián)的文件擴(kuò)展名的以及可疑的組合型文件擴(kuò)展名(比如.txt.vbs,.htm.exe)的附件。盡管這可以阻止未知威脅，但也可能不經(jīng)意間阻止合法活動。一些機(jī)構(gòu)更改可疑的電子郵件附件擴(kuò)展名，這樣接收者將不得不保存附件并在運(yùn)行它之前給它重新命垃圾郵件經(jīng)常用于網(wǎng)絡(luò)釣魚和間諜軟件傳播(例如網(wǎng)絡(luò)爬蟲經(jīng)常包含在垃圾郵件中),在電子郵件服務(wù)器端或者客戶端或者在基于網(wǎng)絡(luò)的設(shè)備中的垃圾郵件過濾軟件可顯著減少到達(dá)用戶端的垃圾郵盡管網(wǎng)頁內(nèi)容過濾軟件通常被用來防止訪問在工作空間中不合的網(wǎng)絡(luò)釣魚網(wǎng)站和其他惡意網(wǎng)站(比如企圖傳播惡意代碼給訪問者的)。網(wǎng)頁內(nèi)容過濾軟件也可以阻止像Web瀏覽器和電子郵件客戶端這樣的應(yīng)用程序可配置只允許符合要求的移動代碼形式(比如JavaScript,ActiveX,Java)進(jìn)入，同時(shí)僅運(yùn)行來自特定位置(比如僅僅是內(nèi)部網(wǎng)站)的移動代碼。這可以有效阻止一些惡意移動代碼，但也可能影響良性網(wǎng)站的功能。網(wǎng)頁內(nèi)容過濾軟件也可用于監(jiān)測與網(wǎng)頁相關(guān)的網(wǎng)絡(luò)活動同時(shí)阻止來自不可信位置大多數(shù)網(wǎng)頁瀏覽器可用來提醒用戶去接受或拒絕每一個(gè)cookie,或者去自動接受或拒絕會話c)計(jì)算機(jī)取證。機(jī)構(gòu)至少應(yīng)該有一名以上事件處理人員精通計(jì)算機(jī)取證工具和技術(shù)；d)對信息技術(shù)的廣泛了解。這使得處理人員可以接觸到惡意軟件對該機(jī)構(gòu)帶來的潛在的和e)編程。機(jī)構(gòu)至少應(yīng)該有一名以上流行腳本和高級語言編程能力的維護(hù)人員各機(jī)構(gòu)應(yīng)該確保他們有必要的工具和資源，以協(xié)助處理惡意軟件事件。常見的工具有包嗅探器、協(xié)議分析器、入侵檢測系統(tǒng)、防火墻等。事件處理小組可以提前為未被感染的操作系統(tǒng)和應(yīng)用程序文件建立哈希值，以便于更準(zhǔn)確得確定惡意軟件是否篡改了系統(tǒng)。必要的資源包括聯(lián)絡(luò)信息、備用通信通道、文檔資源等，具體如表1。工具/資源說明惡意軟件事件處理人員及其交流工具聯(lián)絡(luò)信息可以提供幫助信息的機(jī)構(gòu)內(nèi)部和外部小組成員等的聯(lián)絡(luò)信息(例如，電話號碼、郵件地址),如防病毒軟件提供商和其他事件響應(yīng)小組在線設(shè)備提供給機(jī)構(gòu)內(nèi)其他小組的即時(shí)更新，包括升級信息傳呼/手機(jī)號碼小組成員的傳呼機(jī)或手機(jī)，以便于休息時(shí)間和現(xiàn)場交流時(shí)便于溝通其他互聯(lián)網(wǎng)訪問方法遭遇嚴(yán)重惡意軟件事件時(shí)，網(wǎng)絡(luò)可能無法訪問，這時(shí)需要使用其他方法來尋找有關(guān)新威脅的信息、下載補(bǔ)丁和更新、及得到其他網(wǎng)絡(luò)資源作戰(zhàn)室建立作戰(zhàn)室，便于交流和協(xié)調(diào)工作；如果不需要固定的作戰(zhàn)室，小組應(yīng)該考慮制定一個(gè)建立臨時(shí)作戰(zhàn)室，以便于需要時(shí)使用分析惡意軟件事件的軟件和硬件工具筆記本電腦提供便攜式工作站，方便分析數(shù)據(jù)和嗅探數(shù)據(jù)包備用工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備用來在孤立環(huán)境中測試惡意軟件；如果小組無法確定額外設(shè)備的代價(jià)，可以考慮使用測試實(shí)驗(yàn)室中的設(shè)備，或者使用操作系統(tǒng)仿真軟件建立虛擬實(shí)驗(yàn)室存儲介質(zhì)如空白軟盤和光盤，用來保存和傳輸惡意軟件樣本和其他需要的文件分析工具包嗅探器和協(xié)議分析儀用來抓取數(shù)據(jù)包和分析網(wǎng)絡(luò)流量；最新的可信版本操作系統(tǒng)和分析工具；用來檢測可能存在惡意軟件感染的軟件(例如，防病毒軟件、間諜軟件檢測和清除軟件、系統(tǒng)管理軟件、網(wǎng)絡(luò)取證工具)惡意軟件事件分析資源端口列表包括常用端口和已知木馬和后門端口號相關(guān)文檔操作系統(tǒng)、應(yīng)用程序、協(xié)議、反病毒和入侵檢測標(biāo)記等的文檔關(guān)鍵資源目錄關(guān)鍵資源的圖標(biāo)和目錄，如網(wǎng)站，電子郵件和FTP服務(wù)器基線網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序活動的預(yù)期基線惡意軟件事件處理軟件媒介包括操作系統(tǒng)啟動磁盤和光盤、操作系統(tǒng)媒介、應(yīng)用程序媒介安全補(bǔ)丁操作系統(tǒng)和應(yīng)用程序供應(yīng)商提供的安全補(bǔ)丁鏡像軟件操作系統(tǒng)、應(yīng)用程序、存儲在輔助媒介中數(shù)據(jù)的備份鏡像惡意軟件事件的標(biāo)志可以分為兩類：前兆和跡象。前兆是一個(gè)惡意軟件攻擊可能將要發(fā)生的標(biāo)志。a)惡意軟件公告。防病毒軟件提供商和其他安全相關(guān)機(jī)構(gòu)發(fā)布的有關(guān)新的重大惡意軟件威脅的公的模塊)進(jìn)入機(jī)構(gòu)或者進(jìn)入一個(gè)安全措施不當(dāng)?shù)南到y(tǒng)，從而造成事件的發(fā)生。d)用戶抱怨互聯(lián)網(wǎng)上主機(jī)的訪問速度變慢，系統(tǒng)資源耗盡，磁盤訪問速度緩慢，或者系統(tǒng)啟動緩e)防病毒軟件檢測到某個(gè)主機(jī)感染蠕蟲并產(chǎn)生一個(gè)警告。f)系統(tǒng)管理員檢測一個(gè)文件名中帶有異常字符。h)某用戶嘗試啟動Web瀏覽器時(shí)，其電腦不斷地重啟。a)用戶。用戶經(jīng)常向服務(wù)咨詢部和其他技術(shù)支持人員報(bào)告惡意軟件相關(guān)跡象。例如，用戶可能發(fā)現(xiàn)他們工作站出現(xiàn)防病毒警告，可能出現(xiàn)啟動失敗，或者發(fā)現(xiàn)異常行為。用戶可能是導(dǎo)致感染的原因，b)IT工作人員。系統(tǒng)、網(wǎng)絡(luò)和安全管理人員以及其他IT工作人員通常熟悉正常的活動，他們對偏具產(chǎn)生的警告結(jié)合其他監(jiān)控信息才能在檢測惡意軟件時(shí)有所幫助。惡意軟件的特點(diǎn)太過繁多，制定一個(gè)全面的列表是不可行的。針對各類型的惡意軟件和攻擊工具，表2列出了惡意軟件事件最有可能的跡象。這個(gè)表可以幫助迅速確定惡意軟件并對其歸類。得到管理員權(quán)限的惡意軟件事件的跡象并沒有在表2中列出。因?yàn)槿绻麗阂廛浖梢缘玫较到y(tǒng)的管理員權(quán)限，它可以在該系統(tǒng)中執(zhí)行任意命令，而對該類事件的跡象幾乎是數(shù)不勝數(shù)惡意軟件類型攻擊工具類型毒病型合復(fù)毒病宏碼代動移意惡門后錄記鍵按ttooR器成生件郵安全工具反病毒警告√√√√√√√√√√√間諜軟件檢測和清除工具√√√基于網(wǎng)絡(luò)的入侵預(yù)防警告√√√文件更改時(shí)，基于主機(jī)的入侵檢測警告√√防火墻和路由器日志列表√√可觀察到的主機(jī)活動系統(tǒng)無法啟動√√系統(tǒng)啟動時(shí)顯示錯(cuò)誤信息√√系統(tǒng)不穩(wěn)定，并發(fā)生崩潰√√√√√程序啟動緩慢，運(yùn)行緩慢，或者無法運(yùn)行√√√√√√系統(tǒng)啟動項(xiàng)出現(xiàn)未知進(jìn)程√√√√不尋常和意想不到的端口√發(fā)送和接受的郵件數(shù)量突√√√文字處理軟件、電子表格等模板更改√主頁更改或新的工具條√√文件刪除、崩潰或無法訪問√√√√屏幕出現(xiàn)不尋常的條圖，如奇怪的消息、圖像、重疊或疊加消息框√√√√出現(xiàn)意外的對話框，請求允許做某事√√觀察到的網(wǎng)絡(luò)活動網(wǎng)絡(luò)使用明顯增加√√√√脆弱服務(wù)(如打開windows和失敗的連接嘗試√√主機(jī)和未知遠(yuǎn)程系統(tǒng)存在√√√√√√√√a)惡意軟件分類(例如病毒，蠕蟲，特洛伊木馬);f)惡意軟件如何影響系統(tǒng)(例如漏洞，錯(cuò)誤的配置);具包應(yīng)該包括最新的檢測工具(例如防病毒軟件，間諜軟件檢測和清除工具)來確定惡意軟件、列出速度非?？?，可能會在數(shù)分鐘或數(shù)小時(shí)內(nèi)產(chǎn)生重大影響，類似這樣的惡意軟件應(yīng)該優(yōu)先處理。其他類型的惡意軟件例如特洛伊木馬往往只影響單一的系統(tǒng)，其處理優(yōu)先級應(yīng)該參考該系統(tǒng)提供的服務(wù)和數(shù)據(jù)的價(jià)值。各機(jī)構(gòu)應(yīng)該建立一套標(biāo)準(zhǔn)來確定各種惡意軟件相關(guān)情況的事件響應(yīng)優(yōu)先級。該標(biāo)準(zhǔn)應(yīng)該考b)惡意軟件類型(例如病毒、蠕蟲和特洛伊木馬);e)如果惡意軟件事件沒有被遏制，在接下來的幾分鐘、幾小時(shí)、幾天內(nèi)被感染情況會是怎樣的。惡意軟件的遏制工作由兩部分組成：防止惡意軟件蔓延和進(jìn)一步的破壞。在處理事件的前期，機(jī)構(gòu)務(wù)必確定采用何種初始遏制方案。遏制孤立事件和僅涉及非感染性惡意軟件事件的思路比較清晰，可以切斷網(wǎng)絡(luò)、關(guān)閉系統(tǒng)。針對于大范圍感染事件，機(jī)構(gòu)應(yīng)該迅速使用一個(gè)能夠幫助大部分系統(tǒng)遏止該事件的策略；這樣可以減少被感染主機(jī)數(shù)、減少所產(chǎn)生的損失、以及減少恢復(fù)所有數(shù)據(jù)和服務(wù)所需在遏制惡意軟件事件時(shí)，需要注意的是：阻止惡意軟件的蔓延并不一定能防止所有的可能損害。即使機(jī)構(gòu)已經(jīng)阻止了它的蔓延，惡意軟件還有可能會繼續(xù)感染或者刪除數(shù)據(jù)和應(yīng)用程序、操作系統(tǒng)文產(chǎn)生額外的破壞。例如，被感染的系統(tǒng)可能會運(yùn)行一個(gè)進(jìn)程，使用這個(gè)進(jìn)程周期性地和其他系統(tǒng)保持聯(lián)系。如果斷開網(wǎng)絡(luò)，該聯(lián)系就被破壞，惡意軟件可能會覆蓋該主機(jī)硬盤上所有數(shù)據(jù)。因此，處理人員不能因?yàn)橹鳈C(jī)網(wǎng)絡(luò)連接斷開就假設(shè)不會產(chǎn)生進(jìn)一步的危害，大多數(shù)情況下，應(yīng)該盡快采取消除策略各機(jī)構(gòu)應(yīng)該有一些策略和程序來幫助制定有關(guān)遏制方案，這些策略和程序反映了機(jī)構(gòu)可以接受的風(fēng)險(xiǎn)。例如，機(jī)構(gòu)內(nèi)執(zhí)行關(guān)鍵功能的系統(tǒng)被感染，該系統(tǒng)從網(wǎng)絡(luò)中斷開或者保持連接可能帶來的風(fēng)險(xiǎn)更大，機(jī)構(gòu)可能會決定該系統(tǒng)保持連接或者從網(wǎng)絡(luò)中斷開。遏制策略幫助事件處理人員根據(jù)特定情況用戶參與，特別是在大規(guī)模事件中，可以說是遏制措施很有價(jià)值的一個(gè)部分。在系統(tǒng)被感染時(shí)，用戶接受指令完成確定感染類型和實(shí)施響應(yīng)策略，例如呼叫服務(wù)咨詢部，斷開網(wǎng)絡(luò)連接，關(guān)閉系統(tǒng)電源。這些指令還可以是消除惡意軟件指示，如更新防病毒特征、執(zhí)行系統(tǒng)掃描或者是運(yùn)行特定的惡意軟件清除工具。尤其是在不受控制的環(huán)境或無法使用自動遏制策略的情況下，讓用戶完成這些工作更盡管電子郵件是最有效的溝通方式，在重大事件發(fā)生時(shí)，郵件服務(wù)可能中斷，或者用戶無法及時(shí)得到該郵件。因此，機(jī)構(gòu)應(yīng)該有一些候選的信息傳輸機(jī)制，例如在機(jī)構(gòu)內(nèi)部使用語音信箱、在工作區(qū)域粘貼公告、在建筑和辦公入口處分發(fā)指令。在登錄窗口顯示系統(tǒng)信息可能會很有效，但是很多用戶例如家庭辦公室和小型分支辦公室，因此要確保這些用戶及時(shí)得到信息。還有一個(gè)重要的問題，用戶可能需要一些軟件例如清除工具、軟件更新(如補(bǔ)丁和防病毒特征更新)。各機(jī)構(gòu)要確定并使用多種盡管用戶參與會對遏制工作有幫助，各機(jī)構(gòu)不能把用戶參與作為遏制惡意軟件事件的依賴。不管遏制向?qū)侨绾蝹鬟f給用戶的，總有一些用戶沒有收到或者認(rèn)為該向?qū)Ш退麄儧]有關(guān)系。此外，缺乏對指令的了解，執(zhí)行過程中出現(xiàn)小的錯(cuò)誤都會導(dǎo)致遏制失敗。盡管如此，在涉及到機(jī)構(gòu)內(nèi)大量系統(tǒng)的多網(wǎng)絡(luò)流量或者應(yīng)用程序活動(例如郵件或者文件傳輸),很多應(yīng)用程序可能會無法使用。迅速有效禁止某些服務(wù)(如大型的郵件列表)。無論哪種情況，關(guān)閉受影響的止影響所有服務(wù)的最好方法。該行動通常是在應(yīng)用層(如關(guān)閉服務(wù)器上某個(gè)服務(wù))實(shí)現(xiàn)或網(wǎng)絡(luò)層(如配置防火墻來自機(jī)構(gòu)IP地址或服務(wù)相關(guān)端口)實(shí)現(xiàn)。目的是在有效完成遏制的同時(shí)盡量減少被禁止的功能。為了幫助禁用網(wǎng)絡(luò)服務(wù)，機(jī)構(gòu)應(yīng)該把所使用服務(wù)和對應(yīng)TCP、UDP端口作為列表記錄在案。惡意軟件通常會影響郵件服務(wù)。病毒和蠕蟲通過郵件蔓延后往往會使郵件服務(wù)崩潰。關(guān)閉郵件服務(wù)可以迅速遏制通過電子郵件傳播的惡意軟件，但是，在某些情況下，機(jī)構(gòu)可能會提供一些未知的郵件服務(wù)(如文件服務(wù)器可能會無意中運(yùn)行郵件服務(wù)器),這些郵件服務(wù)也需要關(guān)閉。感染不嚴(yán)重時(shí)，關(guān)閉部分郵件服務(wù)就可以達(dá)到有效地遏制，從而不會禁止郵件服務(wù)功能。例如，暫時(shí)禁止非管制郵件清單可能會明顯減緩惡意軟件的蔓延和減輕對郵件服務(wù)器的影響。同時(shí)，禁止某個(gè)服務(wù)可能會中斷其他依賴此服務(wù)的服務(wù)。例如，禁用電子郵件服務(wù)可能會影響通過電子郵件復(fù)制信息的目錄服務(wù)。各機(jī)構(gòu)應(yīng)該制定一個(gè)主要服務(wù)的依存關(guān)系列表，以便事件處理人員在制在一個(gè)高度集約環(huán)境中，如果新的病毒利用了郵件服務(wù)客戶端的漏洞，用戶可能被禁止使用該郵件客戶端，但可以使用一個(gè)基于網(wǎng)絡(luò)的郵件客戶端作為替代，而這個(gè)客戶端是沒有漏洞可用的，這樣做可以在遏制事件的同時(shí)為用戶提供了郵件功能。這樣的策略也可以用在web瀏覽器和其他通用的客戶端各機(jī)構(gòu)應(yīng)該隨時(shí)應(yīng)對由于其他機(jī)構(gòu)處理惡意軟件事件時(shí)禁止了某項(xiàng)服務(wù)而產(chǎn)生的問題。例如，某機(jī)構(gòu)中有一小組暫時(shí)在另一機(jī)構(gòu)工作，該機(jī)構(gòu)將郵件服務(wù)器配置為自動將該小組的郵件轉(zhuǎn)發(fā)到另一機(jī)構(gòu)的郵件服務(wù)器，那么如果另一機(jī)構(gòu)禁用了郵件服務(wù)，轉(zhuǎn)發(fā)的郵件可能會被反彈回去，然后再次被轉(zhuǎn)臨時(shí)限制網(wǎng)絡(luò)連接可以有效遏制惡意軟件事件。例如，當(dāng)被感染系統(tǒng)企圖和任意一個(gè)外部系統(tǒng)連接并下載rootkit時(shí)，事件處理人員可以阻止所有IP地址為外部的連接。同樣，當(dāng)被感染系統(tǒng)企圖傳是將該系統(tǒng)從網(wǎng)路中斷開，重新配置網(wǎng)絡(luò)設(shè)備拒絕網(wǎng)絡(luò)接入、斷開網(wǎng)線或斷開感染系統(tǒng)的無線網(wǎng)卡。最具爭議的遏制步驟是強(qiáng)行斷開未受感染系統(tǒng)的網(wǎng)絡(luò)。這將造成遠(yuǎn)程撥號用戶和VPN用戶等無法接入網(wǎng)絡(luò)。在最壞的情況下，將子網(wǎng)或者整個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)從互聯(lián)網(wǎng)中斷開可以阻止事件蔓延，停止損害，消除漏洞。當(dāng)惡意軟件已經(jīng)造成大部分網(wǎng)絡(luò)崩潰或?qū)ζ渌麢C(jī)構(gòu)產(chǎn)生攻擊時(shí)，斷開網(wǎng)絡(luò)連接來完成遏制對大多數(shù)機(jī)構(gòu)來說都是可以接受的。因?yàn)榇蟛糠志W(wǎng)絡(luò)崩潰時(shí)，機(jī)構(gòu)的許多功能都會受到影響，通各機(jī)構(gòu)可以自行設(shè)計(jì)和部署網(wǎng)絡(luò)，使通過斷開網(wǎng)絡(luò)遏制事件更容易進(jìn)行例如，有些機(jī)構(gòu)將其服務(wù)器和工作站放置在隔離的子網(wǎng)中；在惡意軟件事件發(fā)生時(shí)，可以隔離受感染的工作站子網(wǎng)，服務(wù)器子網(wǎng)則能繼續(xù)對外部和對沒有感染的內(nèi)部子網(wǎng)提供服務(wù)。另一種策略是使用隔離的虛擬局域網(wǎng)(VLAN),在這種策略中，當(dāng)主機(jī)想連接網(wǎng)絡(luò)時(shí)，首先要檢查其安全態(tài)勢。通?？梢栽诿總€(gè)主機(jī)上安裝一個(gè)代理來監(jiān)控主機(jī)的各種特性，如操作系統(tǒng)補(bǔ)丁和防病毒更新等。當(dāng)主機(jī)嘗試連接到網(wǎng)絡(luò)時(shí)，路由器等網(wǎng)絡(luò)設(shè)備首先詢問主機(jī)上代理軟件的一些信息。如果主機(jī)沒有響應(yīng)該請求或者用于常規(guī)網(wǎng)絡(luò)中的主機(jī)，這樣可以把受感染主機(jī)自動放置到隔離VLAN。為受感染主機(jī)準(zhǔn)備一個(gè)隔離的VLAN能給機(jī)構(gòu)內(nèi)受嚴(yán)重限制的主機(jī)提供防病毒特征更新和操作系統(tǒng)、應(yīng)用程序補(bǔ)丁。如果沒有隔離的VLAN,機(jī)構(gòu)可能需要將受感染主機(jī)完全從網(wǎng)絡(luò)中隔離開，這樣機(jī)些情況下非常有效，如將所有在同一網(wǎng)段的主機(jī)放在VLAN司法鑒定就是尋找近期系統(tǒng)被感染的證據(jù)。這些證據(jù)可以是最新的(幾分鐘內(nèi))或不是特別新的 檢測和清除工具、內(nèi)容過濾器(如反垃圾郵件措施)、基于主機(jī)的入侵預(yù)防軟件。安全應(yīng)用程序的日具也可以幫助確定惡意軟件相關(guān)網(wǎng)絡(luò)連接活動(例如，特定的端口號的組合，不尋常的協(xié)議); c)包嗅探器。配置包嗅探器使其尋找特定惡意軟件威脅對應(yīng)的數(shù)據(jù)包可以有效辨識被感染主機(jī)。如果大多數(shù)或者所有網(wǎng)絡(luò)流量都經(jīng)過同一個(gè)網(wǎng)絡(luò)設(shè)備，使用包嗅探器可以有效辨識感染；洞評估軟件不能識別出被新的威脅感染的主機(jī)。同樣，如果主機(jī)上安裝了基于主機(jī)的防火墻，很多漏e)主機(jī)掃描器。如果某個(gè)惡意軟件威脅在被感染主機(jī)中安裝后門，這些后門程序在運(yùn)行時(shí)會使用某個(gè)特定端口，這樣，使用主機(jī)掃描器就可以有效辨識被感染主機(jī)f)其他掃描器。除了主機(jī)掃描器外，還可以使用其他類型的掃描器來幫助辨識具有某些特征的主例如，主機(jī)掃描器可能無法辨識出使用個(gè)人防火墻的主機(jī)中的感染，因?yàn)榉阑饓ψ柚沽嗽搾呙杵鞯倪\(yùn)行，但是包嗅探器和登陸腳本可能能夠辨識出來這些感染。雖然多種方法相結(jié)合的策略會產(chǎn)生高精確的效果，但是主動辨識需要反復(fù)使用，因?yàn)楦腥緯l繁改變，而收集的數(shù)據(jù)隔一段時(shí)間就需要更新。手動識別是最為費(fèi)力但又不可或缺的方法。當(dāng)大量感染相關(guān)流量導(dǎo)致網(wǎng)絡(luò)崩潰時(shí)，主動辨識策略很難實(shí)施。當(dāng)惡意軟件網(wǎng)絡(luò)流量使用偽造地址，并產(chǎn)生大量活動時(shí)，取證方法可能失去效果，因?yàn)樵诖罅康耐ㄐ艛?shù)據(jù)中，有效路徑可能會丟失。在這樣的情況下，手動辨識策略可能會是最好的選擇。還有一些技術(shù)也可以實(shí)現(xiàn)手動辨識。其中一種是向用戶提供惡意軟件相關(guān)信息以及感染的標(biāo)志、防病毒軟件、操作系統(tǒng)或應(yīng)用程序補(bǔ)丁、掃描工具，讓他們自己判斷是否被感染。還有一個(gè)類似的手動技術(shù)，本地技術(shù)人員(包括通常不參與處理惡意軟件事件的人)檢測所有的系統(tǒng)或者疑似被感染的系統(tǒng)。某些情況下，非技術(shù)人員也可以代替技術(shù)人員在遠(yuǎn)程辦公室完成檢測任務(wù)。對任何可能會幫助處理惡意軟件事件的工作人員，應(yīng)該提前安排好任務(wù)，并提供相應(yīng)文檔和周期性培訓(xùn)。對辨識工作的建議盡管主動辨識能得到最準(zhǔn)確的結(jié)果，但卻不是最快的方法。掃描機(jī)構(gòu)內(nèi)所有主機(jī)可能會耗費(fèi)相當(dāng)多的時(shí)間，同時(shí)因?yàn)閿嚅_或者被關(guān)閉的系統(tǒng)無法掃描。當(dāng)感染在全機(jī)構(gòu)范圍內(nèi)時(shí)，手動方法通常不可行，但在其他方法不能用時(shí)，它仍是辨識工作不可缺少的一部分。各機(jī)構(gòu)應(yīng)該根據(jù)他們的環(huán)境提前考慮可行的方法，并根據(jù)情況選擇足夠多的有效方法，為每一種方法制定流程和技術(shù)指標(biāo)。各機(jī)構(gòu)還應(yīng)該確定哪些個(gè)人和群體能夠幫助辨識感染。例如，安全管理人員(防病毒軟件、IPS、防火墻、漏洞評估、掃描器),系統(tǒng)管理員(DNS、郵件和Web服務(wù)器),網(wǎng)絡(luò)管理員(包嗅探器、路由器),桌面管理員(windows注冊表或文件掃描、登陸腳本的變化)等都可以協(xié)助完成辨識工作。各機(jī)構(gòu)要保證所有可能參與辨識工作的人員都了解自己的角色并且知道如7.4惡意軟件的消除在對安全事件進(jìn)行原因分析之后，事件處理人員將進(jìn)一步對安全事件進(jìn)行處理，具體工作包括：盡管消除策略的主要任務(wù)是清除被感染系統(tǒng)內(nèi)惡意軟件，但消除工作包括的內(nèi)容遠(yuǎn)超過這些。如果感染是由于系統(tǒng)漏洞或者其他安全缺陷引起的，比如不安全的文件共享，那么消除工作還包括修復(fù)系統(tǒng)缺陷，這樣才能防止系統(tǒng)再次感染。如果感染事件是通過切斷被感染系統(tǒng)網(wǎng)絡(luò)遏制的，那么該系意軟件對系統(tǒng)破壞有限(如某個(gè)惡意軟件只是改變了部分?jǐn)?shù)據(jù)文件，可以完全被防病毒軟件清除),7.6經(jīng)驗(yàn)總結(jié)品數(shù)據(jù)，分析黑客入侵手法，調(diào)查造成安全事件的原因，確定安全事件的威脅和破壞的嚴(yán)重程度。根據(jù)整個(gè)事件的情況撰寫《惡意軟件事件應(yīng)急響應(yīng)報(bào)告》,文檔中應(yīng)闡述整個(gè)安全事件的現(xiàn)象、處理過程，處理結(jié)果、事件原因分析，并給出相應(yīng)的安全建議。最后根據(jù)事件的處理過程總結(jié)經(jīng)驗(yàn)教訓(xùn)，在e)重新配置惡意軟件檢測軟件。檢測軟件可能需要按照不同方式重新配置。例一增加軟件和特征的更新速度。一改進(jìn)檢測的準(zhǔn)確性(如更少的誤報(bào)和漏報(bào))。一增加監(jiān)控的范圍(如監(jiān)控額外的傳輸機(jī)制監(jiān)控額外的文件和系統(tǒng)文件)。一根據(jù)檢測到的惡意軟件改變自動執(zhí)行活動。(資料性附錄)本標(biāo)準(zhǔn)中討論了各種可以幫組有效遏制惡意軟件事件的技術(shù)。盡管大部分技術(shù)也可以幫助預(yù)防、檢測和消除惡意軟件事件，本節(jié)側(cè)重遏制，因?yàn)檫@是惡意軟件事件處理時(shí)最復(fù)雜的一個(gè)環(huán)節(jié)。本附錄總結(jié)了各種能有效遏制惡意軟件事件的技術(shù)，并給讀者提供了一些可以識別惡意軟件的工具，這些工具在某些情況下可以作為制定有效遏制策略的基礎(chǔ)。常用技術(shù)，同時(shí)提供了每種技術(shù)在應(yīng)對不同類型惡意軟件和攻擊工具時(shí)的效率。為了便于描述，該表將各種環(huán)境分為兩大類(可控制和不可控制),將各種威脅分為兩大類(簡單和復(fù)雜)。如下是每個(gè)分類代表的含義。作系統(tǒng)以及應(yīng)用程序配置。這使得在最初部署系統(tǒng)和提供支持、維護(hù)時(shí)，能夠有效實(shí)施安全措施，并且使得企業(yè)內(nèi)部能夠保持一個(gè)持續(xù)的安全態(tài)勢。本節(jié)中提供的向?qū)Ъ僭O(shè)在可控制環(huán)境中，大部分系統(tǒng)防火墻使用默認(rèn)拒絕策略；安裝操作系統(tǒng)和應(yīng)用程序補(bǔ)丁)理員權(quán)限。盡管系統(tǒng)最初可能使用企業(yè)的標(biāo)準(zhǔn)配置，但系統(tǒng)所有者和用戶可以更改該配置，這將減弱薦的措施，而大部分系統(tǒng)都執(zhí)行了一部分推薦措施。主題并且附件名只有三個(gè)固定的名稱，那么這個(gè)蠕蟲就是一個(gè)簡單的威脅。如果一個(gè)后門只使用一個(gè)固定端口號并且只和固定IP地址通信，這個(gè)后門也算是一個(gè)簡單威脅。生一些特征。例如，某大規(guī)模郵件蠕蟲使用50個(gè)主題和50個(gè)文件名，并隨機(jī)產(chǎn)生發(fā)送者地址，郵件內(nèi)容和附件大小。還有一個(gè)例子是惡意移動代碼，該代碼從一個(gè)巨大的列表中選擇IP地址并下載其負(fù)載。比起簡單威脅，復(fù)雜威脅通常更難遏制。表A-1提供的是在可控制環(huán)境中處理簡單威脅的向?qū)А＜夹g(shù)簡單威脅，可控制環(huán)境不可控制環(huán)境下的顯著差異復(fù)雜威脅的顯著差異安全工具基于網(wǎng)絡(luò)的防病毒軟件能夠非常有效地阻止所有企圖通過網(wǎng)絡(luò)監(jiān)控點(diǎn)(例如網(wǎng)絡(luò)防火墻)的已知類型惡意軟件：能有效機(jī)構(gòu)一些未知惡意軟件無無基于主機(jī)的防病毒軟件能非常有效地阻止企圖感染主機(jī)的已知類型惡意軟件(例如，工作站、服務(wù)器);能有效機(jī)構(gòu)一些未知類型惡意軟件效率不高，因?yàn)橐恍┲鳈C(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件無間諜軟件檢測和能非常有效地阻止企圖感染效率不高，因?yàn)橐恍o清除工具(通?；谥鳈C(jī))主機(jī)(例如，工作站、服務(wù)器)的已知類型間諜軟件；能有效阻止一些未知類型間諜軟件主機(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件基于網(wǎng)絡(luò)的入侵預(yù)防系統(tǒng)能有效阻止大部分企圖通過網(wǎng)絡(luò)監(jiān)控點(diǎn)(例如網(wǎng)絡(luò)防火墻)的已知類型蠕蟲；某些情況下，可以有效阻止未知蠕蟲。有時(shí)能有效識別和阻止使用后門無通常效率很低，因?yàn)闄z測準(zhǔn)確率很低如果威脅具有隨機(jī)特征性，那通常是無法檢測出來的基于主機(jī)的入侵預(yù)防系統(tǒng)有時(shí)能有效阻止企圖攻擊主機(jī)的已知和未知惡意軟件(例如，工作站，服務(wù)器)能有效檢測出企圖更改關(guān)鍵系統(tǒng)文件的惡意軟件效率不高，因?yàn)橐恍┲鳈C(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件；同樣，如果軟件沒有配置有效，也會降低檢測的準(zhǔn)確性通常效率很低，因?yàn)闄z測準(zhǔn)確率很低基于網(wǎng)絡(luò)的垃圾郵件過濾能夠非常有效地阻止利用機(jī)構(gòu)郵件服務(wù)的基于郵件的已知惡意軟件無通常效率較低，因?yàn)闄z測準(zhǔn)確率很低如果威脅具有隨機(jī)特征性，那通常是無法檢測出來的基于主機(jī)的垃圾郵件過濾能夠非常有效地阻止利用機(jī)構(gòu)郵件服務(wù)的基于郵件的已知惡意軟件效率不高，因?yàn)橐恍┲鳈C(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件通常效率較低，因?yàn)闄z測準(zhǔn)確率很低如果威脅具有隨機(jī)特征性，那通常是無法檢測出來的基于網(wǎng)絡(luò)的web內(nèi)容過濾能有效阻止基于web的已知惡意軟件無通常效率較低，因?yàn)闄z測準(zhǔn)確率很低基于主機(jī)的web內(nèi)容過濾能有效阻止基于web的已知惡意軟件效率不高，因?yàn)橐恍┲鳈C(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件通常效率較低，因?yàn)闄z測準(zhǔn)確率很低網(wǎng)絡(luò)配置更改基于網(wǎng)絡(luò)的防火墻一些基于網(wǎng)絡(luò)的蠕蟲可能會使用防火墻策略不允許的網(wǎng)絡(luò)服務(wù)，該防火墻可以阻止這類蠕蟲進(jìn)入或離開網(wǎng)絡(luò)無如果需要阻止的攻擊者IP地址太多，效率可能會受影響如果外部服務(wù)和主機(jī)被惡意軟件用作傳輸機(jī)制，該防火墻可以有效機(jī)構(gòu)對這些服務(wù)和主機(jī)的訪問能有效預(yù)防非授權(quán)主機(jī)產(chǎn)生的郵件(例如，被大規(guī)模郵件蠕蟲感染的工作站)離開機(jī)構(gòu)的網(wǎng)絡(luò)能有效阻止主機(jī)訪問惡意軟件產(chǎn)生的攻擊者IP地址，同時(shí)阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問基于主機(jī)的防火墻能非常有效地預(yù)防網(wǎng)絡(luò)服務(wù)蠕蟲感染主機(jī)(例如，工作站，服務(wù)器)能有效預(yù)防被感染主機(jī)產(chǎn)生的邊界活動離開主機(jī)(例如，后門，按鍵記錄器，web瀏覽器活動，郵件生成器)效率不高，因?yàn)橐恍┲鳈C(jī)可能使用了過期的、配置錯(cuò)誤、或功能被禁止的防病毒軟件，或者沒有該安裝防病毒軟件無互聯(lián)網(wǎng)邊界路由器該路由器安全策略可以設(shè)置禁止使用某些網(wǎng)絡(luò)服務(wù)，因此可以有效預(yù)防使用這些網(wǎng)絡(luò)服務(wù)的基于網(wǎng)絡(luò)蠕蟲進(jìn)入機(jī)構(gòu)網(wǎng)絡(luò)能有效阻止主機(jī)訪問惡意軟件(例如，后門，惡意移動代碼，按鍵記錄器，惡意瀏覽器插件)產(chǎn)生的攻擊者IP地址，同時(shí)阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問無如果需要阻止的攻擊者IP地址太多，效率可能會受影響內(nèi)部路由器該路由器安全策略可以設(shè)置禁止使用某些網(wǎng)絡(luò)服務(wù)，因此可以有效預(yù)防使用這些網(wǎng)絡(luò)服務(wù)的基于網(wǎng)絡(luò)蠕蟲進(jìn)入機(jī)構(gòu)網(wǎng)絡(luò)能有效阻止主機(jī)訪問惡意軟件(例如，后門，惡意移動代碼，按鍵記錄器，惡意瀏覽器插件)產(chǎn)生的攻擊者IP地址，同時(shí)阻止攻擊者IP地址對該網(wǎng)絡(luò)的訪問能有效阻止被感染主機(jī)產(chǎn)生的郵件發(fā)送活動無如果需要阻止的攻擊者IP地址太多，效率可能會受影響主機(jī)配置更改主機(jī)加固(包括安裝補(bǔ)丁)能有效阻止利用主機(jī)漏洞或不安全設(shè)置的惡意軟件產(chǎn)生的額外感染效率低下，因?yàn)楹芏嘀鳈C(jī)沒有打補(bǔ)丁或沒有適當(dāng)加固無郵件服務(wù)器設(shè)置(例如阻止郵件附件)能有效阻止基于郵件的惡意軟件使用機(jī)構(gòu)的郵件服務(wù)無通常有效低，因?yàn)闄z測準(zhǔn)確率低如果威脅具有隨機(jī)性特征，通常無法檢測機(jī)構(gòu)服務(wù)器上其他服務(wù)的設(shè)置有時(shí)可以有效阻止網(wǎng)絡(luò)服務(wù)蠕蟲無通常有效低，因?yàn)闄z測準(zhǔn)確率低如果威脅具有隨機(jī)性特征，通常無法檢測應(yīng)用程序客戶端能有效阻止特定的惡意軟件效率有限，因?yàn)橛脩魺o設(shè)置(例如，限需要完成某些設(shè)置(例制郵件客戶端和如，手動更改設(shè)置，運(yùn)web瀏覽器中的行分發(fā)的工具或腳本)移動代碼執(zhí)行)表A-2和A-3總結(jié)了表A-1的信息，指出了可控制環(huán)境中，每種技術(shù)針對簡單(表A-2)和復(fù)雜好而對其他情況則效率很低或根本不起作用。空白格表示該技術(shù)不適合處理該類威脅。表A-4和A-5給出了不可控制環(huán)境下每種技術(shù)針對簡單(表A-4)和復(fù)雜(表A-5)威脅的評價(jià)。惡意軟件類型攻擊類型蟲蠕務(wù)服絡(luò)網(wǎng)馬木碼代動移意惡門后器錄記鍵按totooR件插器覽瀏意惡器成生件郵安全工具基于網(wǎng)絡(luò)的防病毒軟件HHHHHHHHHHH基于主機(jī)的防病毒軟件HHHHHHHHHHH間諜軟件檢測和清除工具HHH基于網(wǎng)絡(luò)的入侵預(yù)防系統(tǒng)MML基于主機(jī)的入侵預(yù)防系統(tǒng)LMLLLMLL基于網(wǎng)絡(luò)的垃圾郵件過濾系統(tǒng)HLMH基于主機(jī)的垃圾郵件過濾系統(tǒng)HLMH基于網(wǎng)絡(luò)的web內(nèi)容過濾系統(tǒng)LMM基于主機(jī)的web內(nèi)容過濾系統(tǒng)LMM網(wǎng)絡(luò)配置更改基于網(wǎng)絡(luò)的防火墻HMMMMMM基于主機(jī)的防火墻HMMMMM互聯(lián)網(wǎng)邊界路由器HMMMM內(nèi)部路由器HMMMML主機(jī)配置更改主機(jī)加固(包括安裝補(bǔ)丁)LLMMMM郵件服務(wù)器設(shè)置(例如，機(jī)構(gòu)郵件附件)LLHMMH設(shè)置機(jī)構(gòu)服務(wù)器提供的其他服務(wù)應(yīng)用程序客戶端設(shè)置(例如，限制郵件客戶端或web瀏覽器執(zhí)行惡意代碼，限制在word處理器中使用宏)MMMM惡意軟件類型攻擊類型馬木碼代動移意惡門后ttooR器成生件郵安全工具基于網(wǎng)絡(luò)的防病毒軟件HHHHHHHHHHH基于主機(jī)的防病毒軟件HHHHHHHHHHH間諜軟件檢測和清除工具HHH基于網(wǎng)絡(luò)的入侵預(yù)防系統(tǒng)LLL基于主機(jī)的入侵預(yù)防系統(tǒng)LLLLLLLL基于網(wǎng)絡(luò)的垃圾郵件過濾系統(tǒng)LL基于主機(jī)的垃圾郵件過濾LL基于網(wǎng)絡(luò)的web內(nèi)容過濾系統(tǒng)LLL基于主機(jī)的web內(nèi)容過濾系統(tǒng)LLL網(wǎng)絡(luò)配置更改基于網(wǎng)絡(luò)的防火墻HMM基于主機(jī)的防火墻HMMMMM互聯(lián)網(wǎng)邊界路由器HM內(nèi)部路由器HML主機(jī)配置更改主機(jī)加固(包括安裝補(bǔ)丁)LLMMMM郵件服務(wù)器設(shè)置(例如，機(jī)構(gòu)郵件附件)LLLL設(shè)置機(jī)構(gòu)服務(wù)器提供的其他服務(wù)應(yīng)用程序客戶端設(shè)置(例如，限制郵件客戶端或web瀏覽器執(zhí)行惡意代碼，限制在word處理器中使用宏)MMMM惡意軟件類型攻擊類型毒病宏蟲蠕務(wù)服絡(luò)網(wǎng)馬木碼代動移意惡門后totooR件插器覽瀏意惡器成生件郵安全工具HHHHHHHHHHHMMMMMMMMMMMMMMMMLLLLLLLLLHLMHMLMM統(tǒng)LMM統(tǒng)LMM網(wǎng)絡(luò)配置更改HMMMMMM基于主機(jī)的防火墻MMMMMMHMMMMHMMMML主機(jī)配置更改LLLLHMMHLLLL瀏覽器執(zhí)行惡意代碼，限制在word處理器中使用宏)技術(shù)惡意軟件類型攻擊類型毒病宏蟲蠕務(wù)服絡(luò)網(wǎng)馬木碼代動移意惡門后器錄記鍵按RRtiktoo件插器覽瀏意惡器成生件郵安全工具基于網(wǎng)絡(luò)的防病毒軟件HHHHHHHHHHH基于主機(jī)的防病毒軟件MMMMMMMMMMM間諜軟件檢測和清除工具M(jìn)M基于網(wǎng)絡(luò)的入侵預(yù)防系統(tǒng)LLL基于主機(jī)的入侵預(yù)防系統(tǒng)LLLLLLLL基于網(wǎng)絡(luò)的垃圾郵件過濾系統(tǒng)LL基于主機(jī)的垃圾郵件過濾系統(tǒng)LL基于網(wǎng)絡(luò)的web內(nèi)容過濾系統(tǒng)LLL基于主機(jī)的web內(nèi)容過濾系統(tǒng)LLL網(wǎng)絡(luò)配置更改基于網(wǎng)絡(luò)的防火墻HMM基于主機(jī)的防火墻MMMMMM互聯(lián)網(wǎng)邊界路由器HM內(nèi)部路由器HML主機(jī)配置更改主機(jī)加固(包括安裝補(bǔ)丁)LL郵件服務(wù)器設(shè)置(例如，機(jī)構(gòu)郵件附件)LLLL設(shè)置機(jī)構(gòu)服務(wù)器提供的其他服務(wù)應(yīng)用程序客戶端設(shè)置(例如，限制郵件客戶端或web瀏覽器執(zhí)行惡意代碼，限制在word處理器中使用宏)LLLL當(dāng)機(jī)構(gòu)制定遏制惡意軟件事件策略時(shí)，應(yīng)該考慮開發(fā)一些工具，在重大事件發(fā)生時(shí)，協(xié)助處理人員迅速選擇和實(shí)施遏制策略。例如，假設(shè)一個(gè)新的網(wǎng)絡(luò)服務(wù)蠕蟲攻擊機(jī)構(gòu)，而且它看起來是利用機(jī)構(gòu)內(nèi)基于主機(jī)防火墻軟件的一個(gè)漏洞。機(jī)構(gòu)對該主機(jī)的操作系統(tǒng)和應(yīng)用程序具有很大程度的控制權(quán)，因a)基于網(wǎng)絡(luò)和主機(jī)的防病毒軟件識別和清理受感染的系統(tǒng)b)基于主機(jī)防火墻防止蠕蟲進(jìn)入或者退出系統(tǒng)更新基于主機(jī)防火墻軟件這樣就可不被利用檢測和攔截蠕蟲進(jìn)入或者退出網(wǎng)絡(luò)和子網(wǎng)e)如果網(wǎng)絡(luò)流量對網(wǎng)絡(luò)防火墻而言太多而不能處理時(shí)或者某個(gè)子按照事件處理人員的判斷，他們還可能會聯(lián)系其他技術(shù)管在不可控制環(huán)境中，基于主機(jī)的防火墻一般不會集中控制。同樣地，事件處理人員不能依靠基于主機(jī)防火墻的更新、重配置或其他更改來協(xié)助遏制事件。因此，事件處理人員需要依靠基于網(wǎng)絡(luò)的控制來完成遏制，例如網(wǎng)絡(luò)防火墻和路由器，而不能在主機(jī)層來完成事件處理工作(資料性附錄)關(guān)于惡意軟件事件處理場景的實(shí)踐是提高惡意軟件事件應(yīng)急處理能力和發(fā)現(xiàn)潛在問題的一個(gè)廉并面對一些相關(guān)的問題。小組將會討論出現(xiàn)的情況并討論出最理想的解決方案。這樣做的目的是確定處理人員在現(xiàn)實(shí)中遇到同樣的問題會如何做，并且與推薦的策略相比較，以查明是否有缺點(diǎn)和不足。例如，在實(shí)踐中可能會發(fā)現(xiàn)，所應(yīng)用的應(yīng)急處理措施可能會被延時(shí)，原因是缺少所需要的某種軟件或B.1部分所列出的問題幾乎適用于所有事件處理情況。這些問題后面跟著幾種具體情況，每種情況后面有引出一些附加的相對應(yīng)的問題。強(qiáng)烈建議機(jī)構(gòu)在應(yīng)急處理實(shí)踐中考慮這些問題。施?a)為了防止這種情況的發(fā)生和減小它的影響，采取了什么措施?a)這種惡意事件有哪些前兆呢?如果有的話，組織能檢測到嗎?哪種前兆將促使機(jī)構(gòu)采取預(yù)防措b)機(jī)構(gòu)能檢測到哪種前兆?哪種前兆將導(dǎo)致人們認(rèn)為惡意軟件事件可能已經(jīng)發(fā)生了?c)應(yīng)急處理小組怎么樣分析和驗(yàn)證這類事件?d)組織應(yīng)該把這類事件向誰匯報(bào)呢?e)事件響應(yīng)小組如何確立處理這類事件的優(yōu)先順序?a)處理小組采取什么樣的策略來遏制這類事件?這種策略比其他策略好在哪里?b)如果這類事件不進(jìn)行遏制將出現(xiàn)什么情況?a)誰將要參加這次的事件的經(jīng)驗(yàn)教訓(xùn)會議?b)為防止此類事件將來再發(fā)生應(yīng)該做什么?c)為提高檢測此類事件的能力應(yīng)該做什么?a)有多少事件響應(yīng)小組成員將參與處理此事件?b)除了事件響應(yīng)小組外，在機(jī)構(gòu)內(nèi)還有什么團(tuán)體或者個(gè)人將參與處理此事件?c)小組將把事件報(bào)告給哪一外部參與方?每份報(bào)告什么時(shí)候出?每份報(bào)告將怎么做?d)與外部參與方有什么其他的通訊聯(lián)系發(fā)生?e)在處理此事件時(shí)小組使用什么工具和資源?f)事件發(fā)生在不同日期和時(shí)間，處理的什么方面不同?g)如果事件發(fā)生在不同物理地點(diǎn)，處理的什么方面不同?案例1:蠕蟲和DDoS代理入侵在一個(gè)星期二早晨，一種新蠕蟲被公布在互聯(lián)網(wǎng)上。蠕蟲利用的兩周前公開發(fā)布的MicrosoftWindows漏洞，在那個(gè)時(shí)候補(bǔ)丁已經(jīng)發(fā)布。蠕蟲通過兩種方式傳播自己：(1)通過電子郵件將自身發(fā)送到能找到的受感染主機(jī)的所有地址；(2)找尋并發(fā)送自身到打開文件共享的主機(jī)。蠕蟲為它發(fā)送的每份副本生成不同的附件名；每個(gè)附件有隨機(jī)生成的文件名，而文件名使用的是超過十幾個(gè)文件擴(kuò)展名中的其中一個(gè)。蠕蟲也會從超過100個(gè)的電子郵件主題中去選擇并找尋類似數(shù)量的電子郵件主體。當(dāng)蠕蟲感染主