企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力。
恶意软件的扩散途径
恶意软件可能会通过通信工具传播,如通过电子邮件或即时通信软件,也可以通过恶意网站或P2P连接传播,还可以通过系统漏洞传播。恶意软件一般具备在大型企业网络快速传播的能力,对于企业而言,查清恶意软件的感染途径对于事件处理具有重要作用。有利于恶意软件传播的系统主要是企业应用程序,尤其是那些直接与多个主机和终端连接并对其产生影响的应用程序,包括:
网络攻击者虽然虽然与恶意软件的行为模式不尽相同,但也可能会破坏企业其他信息资源,从而影响企业关键数据和应用程序的可用性,如:
安全措施建议
最常用的策略是增加企业对恶意软件的防护能力,对易受恶意软件攻击的企业信息组件和系统,可以看展必要安全评估,并部署必要的安全防护措施。
1. 网络安全
在企业网络中进行必要的网络分段和分区:
实现分层访问控制:实现设备级访问控制施–仅允许来自特定的VLAN和可信IP范围的访问。
2. 访问控制
对于可以直接与多个终端连接的企业系统:
如果可能,不应允许“EveryOne”,“ Domain Users”或“Authenticated Users”这样的用户组直接访问这些系统。
每个企业应用程序服务仅分配唯一的域帐户并对其进行记录。
分配给帐户的权限上下文应记录完整,并根据最小特权原则进行配置。
企业具有跟踪和监视与应用程序服务帐户分配相关的能力。
如果可能,尽量不要授予具有本地或交互式登录权限的服务帐户。
应该明确拒绝服务帐户访问网络共享和关键数据位置的权限。
集中式企业应用程序服务器或设备进行身份验证的帐户不应包含对整个企业下游系统和资源的权限。
经常关注集中式文件共享访问控制列表及其分配的权限。
尽可能限制写入/修改/完全控制权限。
3. 监测审计
常态化检查安全日志,关注企业级管理(特权)帐户和服务帐户的异常使用情况。
查看网络流量数据以发现异常网络活动。
特定端口的连接与该端口应用程序标准通信流不相关,端口扫描或枚举相关的网络活动,反复通过某端口进行连接可用于命令和控制目的。
确保网络设备具有日志记录功能并审核所有配置更改。
不断检查网络设备配置和规则集,以确保通信连接符合授权规则。
4. 文件分发
在整个企业中安装补丁或反病毒升级包时,请分阶段向特定的系统分组分发(在预定时间段内分阶段进行)。
如果将企业补丁管理或反病毒系统用作恶意软件的分发媒介,则此操作可以最大程度地降低总体影响。
监测和评估整个企业中的补丁和反病毒升级包的完整性。
执行文件和数据完整性检查
对企业应用程序分发的所有数据进行监测和审计。
5. 系统和应用加固
企业可以根据行业标准或最佳实践建议,配置和加固基础操作系统(OS)和支持组件(如IIS、Apache、Sql),并根据供应商提供的最佳实践指南实施应用程序级的安全控制。常见建议包括:
业务恢复
业务影响分析(BIA)是应急响应规划和准备工作的重要组成部分。业务影响分析主要输出两部分内容(与关键任务/业务运营有关),包括:
确定企业的关键信息资产(及其相互依赖关系)后,如果这些资产受到恶意软件的影响,则应考虑进行业务恢复工作。为了能够有效应对这样的情况,企业应该进行以下准备(并应在事件应急响应演练中确认):
列出所有关键业务系统和应用程序清单:
关键系统和应用程序恢复所需的ISO或映像文件:
事件响应
如果企业发现破坏性恶意软件大规模爆发的迹象,在事件响应过程中,应当采取有效措施遏制其传播,防止企业网络其他部分受到影响。遏制措施包括:
确定所有出现异常行为的系统所感染的恶意软件类型,恶意软件并可能通过以下途径进一步传播:
根据恶意软件可能采用传播方式,可以有针对性地实施控制措施,以进一步减少影响:
电脑老出现木马??
360“木马防火墙”是全球第一款专用于抵御木马入侵的防火墙,应用360独创的“亿级云防御”,从防范木马入侵到系统防御查杀,从增强网络防护到加固底层驱动,结合先进的“智能主动防御”,多层次全方位的保护系统安全,每天为3亿360用户拦截木马入侵次数峰值突破1.2亿次,居各类安全软件之首,已经超越一般传统杀毒软件防护能力。 具体增强功能: a:网页防火墙(网盾)+U盘防火墙全面提升拦截能力,在入口点第一时间抓住已知或未知木马。 b:文件感染型木马全面拦截,无论是系统文件或是重要的应用程序,木马防火墙都能拦住针对这些文件的感染型木马。 c:桌面快捷方式的拦截,对付恶意软件或是捆绑木马修改您的桌面快捷方式,或新增一堆有危险的恶意软件图标链接。 d:驱动/MBR拦截的强化,对付恶意驱动和MBR修改的木马。 e:计划任务保护,防止恶意程序使用计划任务自动运行。 双引擎木马查杀 云查杀引擎实时联网查杀已知木马,启发式引擎智能分析查杀未知木马。 新增网络流量监控查看系统内各软件使用网络上传/下载速度,帮助您找出后台偷偷上传的软件。 流量监控使用系统标准的底层智能流量获取技术,不占用带宽资源,不会影响系统性能和网速。 全新痕迹清理 增加注册表等更多清理项目,优化清理速度,减少系统负担,为电脑加速。
恶意软件用金山除不掉怎么办
我给个建议:1. 先下个Windows助手 卸载恶意软件 2.下载个 ESET全套装带防火墙的不嫌麻烦 下载个comodo防火墙版的用ESET杀毒3.下载个USBKiller对所有硬盘 U盘来个免疫4.迅雷5里有迅雷助手 马上给系统打补丁 自动打的 很方便 然后把它设置中的随windows自动启动去掉如果这样都不行那就重装系统吧 完了 再重复上面的操作保证以后电脑干干净净
病毒恶意程序一般怎样解决?
病毒/恶意程序一般解决方案()首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况:(如果是IE上网浏览的问题及其他与IE有关问题,先阅读步骤4 !!)1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。 注意在system32目录下的本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。 由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。 然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program FilesC:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents andSettings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。 2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。 根据我的经验,有三种办法供尝试:A.可能是某些木马病毒、流氓软件等注册为系统服务了。 办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。 再试着中止病毒进程并删除。 B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。 C.(慎用)使用冰刃(即IceSword)等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块。 (慎用)3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。 一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。 编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。 有时这样做不能遏止病毒,还应尝试使用步骤2中方法。 4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。 建议用金山毒霸的金山反间谍 2006等修复工具。 看浏览器辅助对象BHO是否有可疑项目。 有就修复它。 修复失败时参照1、2来做。 5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。 一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。 开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。 选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。 重新启动计算机,就可以查找并删除这些程序了。 不过有时某些程序来说无效。 还是要按步骤1、2办。 6.用杀毒软件
发表评论