企業網絡感染惡意軟件可能會造成關鍵信息系統或數據的破壞,直接威脅正常業務的運行。為了應對這樣的情況,企業應該提前做好準備,構建惡意軟件的檢測和響應能力。
惡意軟件的擴散途徑
惡意軟件可能會通過通信工具傳播,如通過電子郵件或即時通信軟件,也可以通過惡意網站或P2P連接傳播,還可以通過系統漏洞傳播。惡意軟件一般具備在大型企業網絡快速傳播的能力,對于企業而言,查清惡意軟件的感染途徑對于事件處理具有重要作用。
有利于惡意軟件傳播的系統主要包括:
- 企業應用程序-尤其是那些直接與多個主機和終端連接并對其產生影響的應用,包括:
- 補丁管理系統
- 資產管理系統
- 遠程協助或遠程管理軟件
- 防病毒系統
- 系統管理員或網絡管理員的工作站
- 集中式備份服務器
- 集中式文件共享服務器
網絡攻擊者雖然雖然與惡意軟件的行為模式不盡相同,但也可能會破壞企業其他信息資源,從而影響企業關鍵數據和應用程序的可用性,如:
- 集中式存儲設備
- 潛在風險--直接訪問磁盤分區和數據倉庫;
? ? - 網絡設備
- 潛在風險--向路由表中注入虛假路由,從路由表中刪除特定路由,通過刪除或修改配置降低關鍵網絡資源的可用性。
安全措施建議
最常用的策略是增加企業對惡意軟件的防護能力,對易受惡意軟件攻擊的企業信息組件和系統,可以看展必要安全評估,并部署必要的安全防護措施。
網絡安全
- 在企業網絡中進行必要的網絡分段和分區
- 僅允許網絡的訪問控制列表(ACL)中配置為“允許”的端口和協議進行服務器到主機和主機到主機的連接,并僅允許特定流向的數據通過。
- 所有的數據流路徑都應定義、授權和記錄。
- 增強可用作橫向拓展或直接連接到整個企業網絡中其他端點的網關系統的安全。
- 確保這些網關系統包含在有限的VLAN中,并在其他網絡間構建有效的訪問控制機制。
- 確保集中式網絡和存儲設備的管理端口僅連接有限的VLAN。
- 實現分層訪問控制
- 實現設備級訪問控制施--僅允許來自特定的VLAN和可信IP范圍的訪問。
訪問控制
- 對于可以直接與多個終端連接的企業系統:
- 交互式登錄需要雙因子身份驗證。
- 確保授權用戶與企業特定人員一一對應。
- 如果可能,不應允許“Everyone”,“ Domain Users”或“Authenticated Users”這樣的用戶組直接訪問這些系統。
- 每個企業應用程序服務僅分配唯一的域帳戶并對其進行記錄。
- 分配給帳戶的權限上下文應記錄完整,并根據最小特權原則進行配置。
- 企業具有跟蹤和監視與應用程序服務帳戶分配相關的能力。
- 如果可能,盡量不要授予具有本地或交互式登錄權限的服務帳戶。
- 應該明確拒絕服務帳戶訪問網絡共享和關鍵數據位置的權限。
- 集中式企業應用程序服務器或設備進行身份驗證的帳戶不應包含對整個企業下游系統和資源的權限。
- 經常關注集中式文件共享訪問控制列表及其分配的權限。
- 盡可能限制寫入/修改/完全控制權限。
監測審計
- 常態化檢查安全日志,關注企業級管理(特權)帳戶和服務帳戶的異常使用情況。
- 失敗的登陸嘗試
- 訪問共享文件或目錄
- 遠程交互式登陸
- 查看網絡流量數據以發現異常網絡活動。
- 特定端口的連接與該端口應用程序標準通信流不相關,
- 端口掃描或枚舉相關的網絡活動
- 反復通過某端口進行連接可用于命令和控制目的。
- 確保網絡設備具有日志記錄功能并審核所有配置更改。
- 不斷檢查網絡設備配置和規則集,以確保通信連接符合授權規則
文件分發
- 在整個企業中安裝補丁或反病毒升級包時,請分階段向特定的系統分組分發(在預定時間段內分階段進行)。
- 如果將企業補丁管理或反病毒系統用作惡意軟件的分發媒介,則此操作可以最大程度地降低總體影響。
- 監測和評估整個企業中的補丁和反病毒升級包的完整性。
- 確保僅從可信來源接收這些升級包,
- 執行文件和數據完整性檢查
- 對企業應用程序分發的所有數據進行監測和審計。
系統和應用加固
- 企業可以根據行業標準或最佳實踐建議,配置和加固基礎操作系統(OS)和支持組件(如IIS、Apache、SQL),并根據供應商提供的最佳實踐指南實施應用程序級的安全控制。常見建議包括:
- 構建基于角色的訪問控制機制
- 防止最終用戶繞過應用程序級安全控制功能,
- 如–在本地工作站上禁用防病毒軟件
- 禁用不必要或未使用的功能或軟件
- 實施強大的應用程序日志記錄和審核
- 及時測試供應商補丁,并盡快更新。
業務恢復
業務影響分析(BIA)是應急響應規劃和準備工作的重要組成部分。業務影響分析主要輸出兩部分內容(與關鍵任務/業務運營有關),包括:
- 系統組件的特征和分類
- 相互依賴關系
確定企業的關鍵信息資產(及其相互依賴關系)后,如果這些資產受到惡意軟件的影響,則應考慮進行業務恢復工作。
為了能夠有效應對這樣的情況,企業應該進行以下準備(并應在事件應急響應演練中確認):
- 列出所有關鍵業務系統和應用程序清單:
- 版本信息
- 系統或應用程序依賴關系
- 系統分區、存儲配置和連接情況
- 資產所有者和聯系人
- 組織內所有重要人員的聯系方式
- 恢復團隊的安全通信手段
- 外部支持組織或相關資源的聯系方式信息
- 通信服務供應商
- 軟硬件組件供應商
- 外部合作伙伴
- 服務合同編號清單--用于協調服務供應商支持
- 企業采購聯絡點
- 關鍵系統和應用程序恢復所需的ISO或映像文件:
- 操作系統安裝介質
- 服務包或者補丁
- 固件
- 應用程序軟件安裝包
- 操作系統(OS)和相關應用程序的許可或激活密鑰
- 企業網絡拓撲圖和架構圖
- 系統和應用程序的相關文檔
- 操作清單或操作手冊的紙質副本
- 系統和應用程序配置備份文件
- 數據備份文件(完整或差異備份)
- 系統和應用程序安全性基線、加固清單或準則
- 系統和應用程序完整性測試和驗收清單
事件響應
如果企業發現破壞性惡意軟件大規模爆發的跡象,在事件響應過程中,應當采取有效措施遏制其傳播,防止企業網絡其他部分受到影響。
遏制措施包括:
- 確定所有出現異常行為的系統所感染的惡意軟件類型,惡意軟件并可能通過以下途徑進一步傳播:
- 集中式企業應用程序
- 集中式文件共享
- 受感染系統共用的特權用戶帳戶
- 網絡分區或網絡邊界
- 通用DNS服務器
- 根據惡意軟件可能采用傳播方式,可以有針對性地實施控制措施,以進一步減少影響:
- 實施基于網絡的訪問控制列表ACL,阻斷感染的系統或程序與其他系統的通信功能,
- 立即將特定系統或資源隔離,或通過沙箱進行監控
- 為特定的IP地址(或IP范圍)實施空網絡路由—使其無法對外通信并傳播惡意軟件,
- 利用企業內部DNS—將所有已感染惡意軟件的服務器和應用程序解析為空地址
- 立即禁用可疑的用戶或服務帳戶
- ?刪除可疑文件共享的訪問權限或禁用其共享路徑防止其他系統訪問
