每年圣誕節(jié)，準(zhǔn)時給你Email圣誕禮物的人，除了黑客，還有誰？

網(wǎng)絡(luò)犯罪的手法總是不斷翻新，他們不停優(yōu)化武器和攻擊策略，無情地漫游網(wǎng)絡(luò)以尋找下一個大目標(biāo)。

各種各樣的敏感信息、隱私數(shù)據(jù)，如保密的員工檔案，客戶的財務(wù)數(shù)據(jù)，受保護(hù)的醫(yī)療文件和政府文件，都面臨著網(wǎng)絡(luò)安全的無情威脅。

解決問題的方法很多，從培訓(xùn)Email用戶安全意識到確保VPN 終止開關(guān)到位，再到添加廣泛的高級網(wǎng)絡(luò)保護(hù)層。

為了成功防御黑客、蠕蟲病毒和惡意軟件（如僵尸網(wǎng)絡(luò)）的嚴(yán)重威脅，網(wǎng)絡(luò)管理人員需要采用所有適合全面網(wǎng)絡(luò)防御戰(zhàn)略的工具和方法。

在上述所有威脅中，僵尸網(wǎng)絡(luò)無疑是最令人不安的安全風(fēng)險。它們不僅僅是業(yè)余網(wǎng)絡(luò)罪犯的惡行，更是最黑暗的網(wǎng)絡(luò)騙術(shù)。

最讓人談虎色變的是它們的隱蔽性——隱身潛伏在周圍尋找漏洞利用機(jī)會的能力。

僵尸網(wǎng)絡(luò)如何工作？

僵尸網(wǎng)絡(luò)并不是一種直接的黑客戰(zhàn)略武器，它是微妙的數(shù)據(jù)提取惡意軟件。它們潛入網(wǎng)絡(luò)，未經(jīng)授權(quán)訪問計算機(jī)，并允許惡意軟件在不被察覺的情況下繼續(xù)運行，同時它們竊取數(shù)據(jù)并將其導(dǎo)出受害者網(wǎng)絡(luò)之外進(jìn)入等待中的“僵尸主機(jī)”，在整個過程中逃避檢測。

如何阻止僵尸網(wǎng)絡(luò)？

網(wǎng)絡(luò)防御的第一線必須有人把守——那些真正使用計算機(jī)工作的人、在辦公室執(zhí)行日常任務(wù)的人。

應(yīng)對不斷演變的威脅的最佳防御措施是培訓(xùn)作為黑客潛在目標(biāo)的用戶。網(wǎng)絡(luò)防御的第一線涵蓋網(wǎng)絡(luò)交互的所有范圍，從電子郵件到社交媒體。

建議實施一種策略，該策略應(yīng)結(jié)合您組織的實際情況，將以下盡可能多的方法（從一些基本方法到復(fù)雜的解決方案）納入考慮范圍：

1.確保你的VPN設(shè)置了一個終止開關(guān)

虛擬專用網(wǎng)絡(luò)（VPN）允許用戶通過公共網(wǎng)絡(luò)連接到VPN來訪問機(jī)密信息。你的VPN應(yīng)該有一個終止開關(guān)，以防止敏感數(shù)據(jù)（如IP地址）無意中通過不安全的連接傳輸。

2.開發(fā)強(qiáng)大的系統(tǒng)來捕獲和阻止BEC

商業(yè)電子郵件泄露是一種常見的攻擊策略，英文縮寫為BEC（Business Email Compromise），BEC詐騙事件的數(shù)量不斷上升，這種攻擊很難防御。

• BEC檢測和消除的解決方案需要有效的分類和策略來阻止可疑電子郵件發(fā)件人，內(nèi)容和附件。

• 安裝防御網(wǎng)關(guān)Web工具（例如WebSense，McAfee），以幫助阻止從不良來源接收電子郵件，并阻止將請求發(fā)送給被認(rèn)為可能是惡意軟件來源的地址。

3.建立嚴(yán)防BEC的文化

據(jù)報道，社交操縱是犯罪分子用來攻擊電子郵件賬戶的最常見方法之一。他們早就發(fā)現(xiàn)，點擊電子郵件附件是許多忙碌用戶的一種條件反射。因此，可以通過以下方法增強(qiáng)系統(tǒng)的安全性：

• 假設(shè)用戶始終會打開電子郵件附件，即使你的組織在員工手冊里有那么不顯眼的一條政策——在點擊前三思而后行，也要更徹底地推進(jìn)這項政策。

• 為員工提供有關(guān)網(wǎng)絡(luò)安全的意識培訓(xùn)和知識、技能更新，例如使用強(qiáng)密碼。

• 教用戶如何獲得幫助以及使用實時解決方案來隔離和避免利用網(wǎng)絡(luò)的各種攻擊。

• 教用戶勤于舉報可疑電子郵件。在培訓(xùn)中要包括電子郵件攻擊和模擬演示，以幫助他們學(xué)會識別攻擊，并為賬戶最易受攻擊的用戶提供額外支持。

4.切換到手動軟件安裝

盡管這條建議可能不受歡迎，但是某些組織應(yīng)該根據(jù)其威脅狀況通過自動運行功能禁用軟件的自動安裝。

禁止自動運行自動安裝軟件有助于防止計算機(jī)操作系統(tǒng)不加選擇地從未知的外部源啟動不需要的命令。

5.啟用Windows防火墻

安裝Windows防火墻對于抵御安全威脅的基線保護(hù)至關(guān)重要。用戶可能想要禁用Windows防火墻，以防止其阻止他們要建立的網(wǎng)絡(luò)連接。

如果您的聯(lián)網(wǎng)計算機(jī)有替代的適當(dāng)?shù)姆阑饓ΡＷo(hù)，則最好甚至有必要禁用Windows防火墻。

關(guān)鍵是要配置適當(dāng)?shù)姆阑饓ΡＷo(hù)。

6.網(wǎng)絡(luò)隔離

考慮網(wǎng)絡(luò)隔離。在當(dāng)今的工作環(huán)境中，大多數(shù)計算機(jī)站必須每天在部門之間多次相互通信。

然而，對于不需要這種廣泛訪問權(quán)限的機(jī)器來說，限制或消除這種能力在很大程度上有助于阻止僵尸網(wǎng)絡(luò)在你的網(wǎng)絡(luò)中傳播。

盡可能：

• 通過形成虛擬局域網(wǎng)（VLAN）將網(wǎng)絡(luò)風(fēng)險降到最低。

• 使用訪問控制列表（ACL）篩選器限制對對象的訪問并限制威脅暴露。

7.使用數(shù)據(jù)過濾

僵尸網(wǎng)絡(luò)惡意軟件通常通過與至少一個遠(yuǎn)程命令和控制服務(wù)器建立交互來工作，黑客還利用該服務(wù)器非法提取敏感信息。

要阻止惡意互動并阻止犯罪活動，請對流出網(wǎng)絡(luò)的信息使用數(shù)據(jù)過濾。

一些可行的方法包括：

• 可以應(yīng)用出口內(nèi)容過濾工具，強(qiáng)制組織的網(wǎng)絡(luò)流量通過過濾器，以防止信息流出組織網(wǎng)絡(luò)。

• 數(shù)據(jù)丟失預(yù)防（DLP）解決方案還可用于監(jiān)視未經(jīng)授權(quán)的訪問和破壞，防止它們泄漏信息。

8.打破域信任關(guān)系

消除密碼信任以重新獲得對本地賬戶的更嚴(yán)格控制。謹(jǐn)慎地控制本地管理員賬戶對切斷威脅并消除威脅至關(guān)重要。

禁用計算機(jī)的自動互連功能，可以切斷僵尸網(wǎng)絡(luò)用來在內(nèi)部網(wǎng)絡(luò)中傳播的路由。

在某些或許多計算機(jī)包含高度敏感數(shù)據(jù)的網(wǎng)絡(luò)中，這可以提供一種安全的替代方法來防御僵尸網(wǎng)絡(luò)攻擊。

9.采取額外的預(yù)防措施

設(shè)置額外的保護(hù)層，以幫助防止僵尸網(wǎng)絡(luò)在您的系統(tǒng)中自我保護(hù)，重點是強(qiáng)化支撐網(wǎng)絡(luò)，例如，某些特別脆弱的特定接觸點、來自某些硬件或軟件組件的路由。

記住以下幾點：

• 基于主機(jī)的入侵檢測系統(tǒng)效率極高，但成本也很高，通常很難部署成功。

• 這些工具無法糾正操作系統(tǒng)的缺陷或其他現(xiàn)有技術(shù)缺陷。

10.增強(qiáng)和增加網(wǎng)絡(luò)監(jiān)控

密切監(jiān)控網(wǎng)絡(luò)，掌握網(wǎng)絡(luò)連接用戶在組織內(nèi)的操作活動，可顯著提高網(wǎng)絡(luò)防御解決方案的能力

當(dāng)僵尸網(wǎng)絡(luò)或其他惡意軟件入侵開始時，更深入地監(jiān)測網(wǎng)絡(luò)交互行為，可以更快速地檢測到異?；顒?。

• 理想情況下，應(yīng)該采用24小時監(jiān)控網(wǎng)絡(luò)的策略，使用數(shù)據(jù)收集工具檢測異常行為并阻止?jié)B透系統(tǒng)的嘗試。

• 考慮購買遠(yuǎn)程網(wǎng)絡(luò)安全服務(wù)，以獲取范圍更廣、質(zhì)量更高的網(wǎng)絡(luò)監(jiān)控設(shè)備和專業(yè)知識，這可能超出內(nèi)部IT設(shè)施和/或一個員工提供全天候服務(wù)的水平。

11.使用代理服務(wù)器控制網(wǎng)絡(luò)訪問

創(chuàng)建一個可以監(jiān)控互聯(lián)網(wǎng)訪問的支持出口點，從而增強(qiáng)監(jiān)視工作的力度。通過代理服務(wù)器路由出站信息可以阻止網(wǎng)絡(luò)犯罪分子繞過網(wǎng)絡(luò)安全性的嘗試。

對于大多數(shù)網(wǎng)絡(luò)，通過代理服務(wù)器過濾內(nèi)容是一種實用的選擇，盡管停止每一點疑似有問題的出站信息可能并不現(xiàn)實。

12.應(yīng)用最低特權(quán)原則

一般而言，訪問權(quán)限應(yīng)該基于用戶功能的需要。如果管理員與特定工作站的用戶不是同一個人，則通過下載傳播惡意軟件的難度會大得多。

這也使得采用自動運行策略來利用系統(tǒng)變得更加困難。這進(jìn)一步增加了犯罪者通過利用用戶的網(wǎng)絡(luò)賬戶憑據(jù)將惡意軟件從一個被滲透的計算機(jī)工作站傳播到其他工作站的難度。

13.監(jiān)視對域名系統(tǒng)的查詢響應(yīng)

持續(xù)監(jiān)視工作站對DNS服務(wù)器的查詢是識別僵尸網(wǎng)絡(luò)滲透癥狀的一個極好的方法。例如，監(jiān)視低生存時間（TTL）。

TTL值異常低可能表明僵尸網(wǎng)絡(luò)滲透。通過仔細(xì)監(jiān)測低TTL值，系統(tǒng)管理員可以采取措施來抵抗攻擊，并在感染蔓延之前消除僵尸網(wǎng)絡(luò)。

14.隨時掌握緊急威脅

讓IT團(tuán)隊及時掌握最新的本地、國家和全球網(wǎng)絡(luò)威脅動態(tài)。例如，據(jù)報道，使用電子郵件中的URL滲透到內(nèi)部網(wǎng)絡(luò)的犯罪發(fā)生率比使用附件的犯罪發(fā)生率高得多。

更普遍地說，在過去一年里，通過使用僵尸網(wǎng)絡(luò)成功從內(nèi)部網(wǎng)絡(luò)竊取信息的比例十分驚人。

及時了解新的動態(tài)和不斷更新的網(wǎng)絡(luò)威脅是網(wǎng)絡(luò)管理專業(yè)人員必須始終如一地堅持的首要活動，以有效地保護(hù)系統(tǒng)安全。

更安全地邁入2020年

為了保護(hù)那些信任你的人，保護(hù)他們敏感的個人信息，保護(hù)你的品牌聲譽，你需要全方位地捍衛(wèi)網(wǎng)絡(luò)安全。

使用上述策略、方法和工具，來確保你已有效地防御來自電子郵件，移動訪問點，社交平臺和任何其他媒體的網(wǎng)絡(luò)攻擊。

如前所述，僵尸網(wǎng)絡(luò)現(xiàn)在占網(wǎng)絡(luò)犯罪的絕大比例。使用上述方法可以幫助你構(gòu)建一個穩(wěn)固的網(wǎng)絡(luò)安全框架，該框架可以根據(jù)不同網(wǎng)絡(luò)預(yù)算和規(guī)模進(jìn)行靈活調(diào)整和擴(kuò)展。

本文來源：The Hacker News，由安數(shù)網(wǎng)絡(luò)編譯整理。轉(zhuǎn)載請注明出處。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明