企业感染恶意软件的处理建议

企业网络感染恶意软件可能会造成关键信息系统或数据的破坏，直接威胁正常业务的运行。为了应对这样的情况，企业应该提前做好准备，构建恶意软件的检测和响应能力。

[[285185]]

恶意软件的扩散途径

恶意软件可能会通过通信工具传播，如通过电子邮件或即时通信软件，也可以通过恶意网站或P2P连接传播，还可以通过系统漏洞传播。恶意软件一般具备在大型企业网络快速传播的能力，对于企业而言，查清恶意软件的感染途径对于事件处理具有重要作用。有利于恶意软件传播的系统主要是企业应用程序，尤其是那些直接与多个主机和终端连接并对其产生影响的应用程序，包括：

• 补丁管理系统
• 资产管理系统
• 远程协助或远程管理软件
• 防病毒系统
• 系统管理员或网络管理员的工作站
• 集中式备份服务器
• 集中式文件共享服务器

网络攻击者虽然虽然与恶意软件的行为模式不尽相同，但也可能会破坏企业其他信息资源，从而影响企业关键数据和应用程序的可用性，如：

• 集中式存储设备，潜在风险为直接访问磁盘分区和数据仓库;
• 网络设备，潜在风险–向路由表中注入虚假路由，从路由表中删除特定路由，通过删除或修改配置降低关键网络资源的可用性。

安全措施建议

最常用的策略是增加企业对恶意软件的防护能力，对易受恶意软件攻击的企业信息组件和系统，可以看展必要安全评估，并部署必要的安全防护措施。

1. 网络安全

在企业网络中进行必要的网络分段和分区：

• 仅允许网络的访问控制列表(ACL)中配置为“允许”的端口和协议进行服务器到主机和主机到主机的连接，并仅允许特定流向的数据通过。
• 所有的数据流路径都应定义、授权和记录。
• 增强可用作横向拓展或直接连接到整个企业网络中其他端点的网关系统的安全。
• 确保这些网关系统包含在有限的VLAN中，并在其他网络间构建有效的访问控制机制。
• 确保集中式网络和存储设备的管理端口仅连接有限的VLAN。

实现分层访问控制：实现设备级访问控制施–仅允许来自特定的VLAN和可信IP范围的访问。

2. 访问控制

对于可以直接与多个终端连接的企业系统：

• 交互式登录需要双因子身份验证。
• 确保授权用户与企业特定人员一一对应。

如果可能，不应允许“Everyone”，“ Domain Users”或“Authenticated Users”这样的用户组直接访问这些系统。

每个企业应用程序服务仅分配唯一的域帐户并对其进行记录。

分配给帐户的权限上下文应记录完整，并根据最小特权原则进行配置。

企业具有跟踪和监视与应用程序服务帐户分配相关的能力。

如果可能，尽量不要授予具有本地或交互式登录权限的服务帐户。

应该明确拒绝服务帐户访问网络共享和关键数据位置的权限。

集中式企业应用程序服务器或设备进行身份验证的帐户不应包含对整个企业下游系统和资源的权限。

经常关注集中式文件共享访问控制列表及其分配的权限。

尽可能限制写入/修改/完全控制权限。

3. 监测审计

常态化检查安全日志，关注企业级管理(特权)帐户和服务帐户的异常使用情况。

• 失败的登陆尝试
• 访问共享文件或目录
• 远程交互式登陆

查看网络流量数据以发现异常网络活动。

特定端口的连接与该端口应用程序标准通信流不相关，端口扫描或枚举相关的网络活动，反复通过某端口进行连接可用于命令和控制目的。

确保网络设备具有日志记录功能并审核所有配置更改。

不断检查网络设备配置和规则集，以确保通信连接符合授权规则。

4. 文件分发

在整个企业中安装补丁或反病毒升级包时，请分阶段向特定的系统分组分发(在预定时间段内分阶段进行)。

如果将企业补丁管理或反病毒系统用作恶意软件的分发媒介，则此操作可以最大程度地降低总体影响。

监测和评估整个企业中的补丁和反病毒升级包的完整性。

确保仅从可信来源接收这些升级包，

执行文件和数据完整性检查

对企业应用程序分发的所有数据进行监测和审计。

5. 系统和应用加固

企业可以根据行业标准或最佳实践建议，配置和加固基础操作系统(OS)和支持组件(如IIS、Apache、SQL)，并根据供应商提供的最佳实践指南实施应用程序级的安全控制。常见建议包括：

• 构建基于角色的访问控制机制
• 防止最终用户绕过应用程序级安全控制功能
• 如–在本地工作站上禁用防病毒软件
• 禁用不必要或未使用的功能或软件
• 实施强大的应用程序日志记录和审核
• 及时测试供应商补丁，并尽快更新。

业务恢复

业务影响分析(BIA)是应急响应规划和准备工作的重要组成部分。业务影响分析主要输出两部分内容(与关键任务/业务运营有关)，包括：

• 系统组件的特征和分类
• 相互依赖关系

确定企业的关键信息资产(及其相互依赖关系)后，如果这些资产受到恶意软件的影响，则应考虑进行业务恢复工作。为了能够有效应对这样的情况，企业应该进行以下准备(并应在事件应急响应演练中确认)：

列出所有关键业务系统和应用程序清单：

• 版本信息
• 系统或应用程序依赖关系
• 系统分区、存储配置和连接情况
• 资产所有者和联系人
• 组织内所有重要人员的联系方式
• 恢复团队的安全通信手段
• 外部支持组织或相关资源的联系方式信息
• 通信服务供应商
• 软硬件组件供应商
• 外部合作伙伴
• 服务合同编号清单–用于协调服务供应商支持
• 企业采购联络点

关键系统和应用程序恢复所需的ISO或映像文件：

• 操作系统安装介质
• 服务包或者补丁
• 固件
• 应用程序软件安装包
• 操作系统(OS)和相关应用程序的许可或激活密钥
• 企业网络拓扑图和架构图
• 系统和应用程序的相关文档
• 操作清单或操作手册的纸质副本
• 系统和应用程序配置备份文件
• 数据备份文件(完整或差异备份)
• 系统和应用程序安全性基线、加固清单或准则
• 系统和应用程序完整性测试和验收清单

事件响应

如果企业发现破坏性恶意软件大规模爆发的迹象，在事件响应过程中，应当采取有效措施遏制其传播，防止企业网络其他部分受到影响。遏制措施包括：

确定所有出现异常行为的系统所感染的恶意软件类型，恶意软件并可能通过以下途径进一步传播：

• 集中式企业应用程序
• 集中式文件共享
• 受感染系统共用的特权用户帐户
• 网络分区或网络边界
• 通用DNS服务器

根据恶意软件可能采用传播方式，可以有针对性地实施控制措施，以进一步减少影响：

• 实施基于网络的访问控制列表ACL，阻断感染的系统或程序与其他系统的通信功能，
• 立即将特定系统或资源隔离，或通过沙箱进行监控
• 为特定的IP地址(或IP范围)实施空网络路由—使其无法对外通信并传播恶意软件，
• 利用企业内部DNS—将所有已感染恶意软件的服务器和应用程序解析为空地址
• 立即禁用可疑的用户或服务帐户
• 删除可疑文件共享的访问权限或禁用其共享路径防止其他系统访问