信息安全技术恶意软件事件遏制技术总结处理场景Word文档下载推荐.docx

信息安全技术恶意软件事件遏制技术总结处理场景Word文档下载推荐.docx

《信息安全技术恶意软件事件遏制技术总结处理场景Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《信息安全技术恶意软件事件遏制技术总结处理场景Word文档下载推荐.docx（33页珍藏版）》请在冰豆网上搜索。

d）复杂威胁。

和简单威胁不同，复杂威胁可能有成百上千种特征；

有些复杂的威胁甚至会随即产生一些特征。

例如，某大规模邮件蠕虫使用50个主题和50个文件名，并随机产生发送者地址，邮件内容和附件大小。

还有一个例子是恶意移动代码，该代码从一个巨大的列表中选择IP地址并下载其负载。

比起简单威胁，复杂威胁通常更难遏制。

表A-1提供的是在可控制环境中处理简单威胁的向导。

表A-1预防和遏制技术的典型效率

技术

简单威胁，可控制环境

不可控制环境下的显著差异

复杂威胁的显著差异

安全工具

基于网络的防病毒软件

能够非常有效地阻止所有企图通过网络监控点（例如网络防火墙）的已知类型恶意软件；

能有效机构一些未知恶意软件

无

基于主机的防病毒软件

能非常有效地阻止企图感染主机的已知类型恶意软件（例如，工作站、服务器）；

能有效机构一些未知类型恶意软件

效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件

间谍软件检测和清除工具（通常基于主机）

能非常有效地阻止企图感染主机（例如，工作站、服务器）的已知类型间谍软件；

能有效阻止一些未知类型间谍软件

基于网络的入侵预防系统

能有效阻止大部分企图通过网络监控点（例如网络防火墙）的已知类型蠕虫；

某些情况下，可以有效阻止未知蠕虫。

有时能有效识别和阻止使用后门

通常效率很低，因为检测准确率很低

如果威胁具有随机特征性，那通常是无法检测出来的

基于主机的入侵预防系统

有时能有效阻止企图攻击主机的已知和未知恶意软件（例如，工作站，服务器）

能有效检测出企图更改关键系统文件的恶意软件

效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件；

同样，如果软件没有配置有效，也会降低检测的准确性

基于网络的垃圾邮件过滤

能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件

通常效率较低，因为检测准确率很低

基于主机的垃圾邮件过滤

能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件

效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件

通常效率较低，因为检测准确率很低

基于网络的web内容过滤

能有效阻止基于web的已知恶意软件

基于主机的web内容过滤

网络配置更改

基于网络的防火墙

一些基于网络的蠕虫可能会使用防火墙策略不允许的网络服务，该防火墙可以阻止这类蠕虫进入或离开网络

如果外部服务和主机被恶意软件用作传输机制，该防火墙可以有效机构对这些服务和主机的访问

能有效预防非授权主机产生的邮件（例如，被大规模邮件蠕虫感染的工作站）离开机构的网络

能有效阻止主机访问恶意软件产生的攻击者IP地址，同时阻止攻击者IP地址对该网络的访问

无

如果需要阻止的攻击者IP地址太多，效率可能会受影响

基于主机的防火墙

能非常有效地预防网络服务蠕虫感染主机（例如，工作站，服务器）

能有效预防被感染主机产生的边界活动离开主机（例如，后门，按键记录器，web浏览器活动，邮件生成器）

互联网边界路由器

该路由器安全策略可以设置禁止使用某些网络服务，因此可以有效预防使用这些网络服务的基于网络蠕虫进入机构网络

能有效阻止主机访问恶意软件（例如，后门，恶意移动代码，按键记录器，恶意浏览器插件）产生的攻击者IP地址，同时阻止攻击者IP地址对该网络的访问

内部路由器

能有效阻止被感染主机产生的邮件发送活动

主机配置更改

主机加固（包括安装补丁）

能有效阻止利用主机漏洞或不安全设置的恶意软件产生的额外感染

效率低下，因为很多主机没有打补丁或没有适当加固

邮件服务器设置（例如阻止邮件附件）

能有效阻止基于邮件的恶意软件使用机构的邮件服务

通常有效低，因为检测准确率低

如果威胁具有随机性特征，通常无法检测

机构服务器上其他服务的设置

有时可以有效阻止网络服务蠕虫

应用程序客户端设置（例如，限制邮件客户端和web浏览器中的移动代码执行）

能有效阻止特定的恶意软件

效率有限，因为用户需要完成某些设置（例如，手动更改设置，运行分发的工具或脚本）

表A-2和A-3总结了表A-1的信息，指出了可控制环境中，每种技术针对简单（表A-2）和复杂（表A-3）威胁的效率。

这些表提供每种技术处理每类恶意软件的单独的评价。

评价如下：

H表示高效率；

M表示效率一般；

L表示低效率。

通常，效率一般或者效率低表明该技术在某些情况下效率很好而对其他情况则效率很低或根本不起作用。

空白格表示该技术不适合处理该类威胁。

表A-4和A-5给出了不可控制环境下每种技术针对简单（表A-4）和复杂（表A-5）威胁的评价。

表A-2可控制环境下针对简单威胁的效率

恶意软件类型

攻击类型

复合型病毒

宏病毒

网络服务蠕虫

大规模邮件蠕虫

木马

恶意移动代码

后门

按键记录器

Rootkit

恶意浏览器插件

邮件生成器

H

间谍软件检测和清除工具

M

L

基于网络的垃圾邮件过滤系统

基于主机的垃圾邮件过滤系统

基于网络的web内容过滤系统

基于主机的web内容过滤系统

邮件服务器设置（例如，机构邮件附件）

设置机构服务器提供的其他服务

L-M

应用程序客户端设置（例如，限制邮件客户端或web浏览器执行恶意代码，限制在word处理器中使用宏）

表A-3可控制环境下针对复杂威胁的效率

H

表A-4不可控制环境下针对简单威胁的效率

表A-5不可控制环境下针对复杂威胁的效率

当机构制定遏制恶意软件事件策略时，应该考虑开发一些工具，在重大事件发生时，协助处理人员迅速选择和实施遏制策略。

例如，假设一个新的网络服务蠕虫攻击机构，而且它看起来是利用机构内基于主机防火墙软件的一个漏洞。

机构对该主机的操作系统和应用程序具有很大程度的控制权，因此机构的遏制策略应该参考表A-2。

在大多数情况下，一个可行的策略是首先联系所有高效技术管理员，这些技术包括如下：

a）基于网络和主机的防病毒软件

检测和阻止蠕虫

识别和清理受感染的系统

b）基于主机防火墙

防止蠕虫进入或者退出系统

为防止蠕虫利用重新配置基于主机防火墙软件

更新基于主机防火墙软件这样就可不被利用

c）网络防火墙

检测和拦截蠕虫进入或者退出网络和子网

d）互联网边界和内网路由器

e）如果网络流量对网络防火墙而言太多而不能处理时或者某个子网需要更多保护时，就需检测和拦截蠕虫进入或退出网络

按照事件处理人员的判断，他们还可能会联系其他技术管理人员，例如基于网络和主机的入侵预防系统，以决定他们是否可以配置系统来阻止蠕虫。

在不可控制环境中，基于主机的防火墙一般不会集中控制。

同样地，事件处理人员不能依靠基于主机防火墙的更新、重配置或其他更改来协助遏制事件。

因此，事件处理人员需要依靠基于网络的控制来完成遏制，例如网络防火墙和路由器，而不能在主机层来完成事件处理工作。

附录B恶意软件事件处理场景

关于恶意软件事件处理场景的实践是提高恶意软件事件应急处理能力和发现潜在问题的一个廉价而又有效的方式。

在这些实践中，恶意软件事件响应小组的成员将会了解恶意软件事件的基本情况，并面对一些相关的问题。

小组将会讨论出现的情况并讨论出最理想的解决方案。

这样做的目的是确定处理人员在现实中遇到同样的问题会如何做，并且与推荐的策略相比较，以查明是否有缺点和不足。

例如，在实践中可能会发现，所应用的应急处理措施可能会被延时，原因是缺少所需要的某种软件或者另一个工作小组不提供某一时段的服务。

B.1部分所列出的问题几乎适用于所有事件处理情况。

这些问题后面跟着几种具体情况，每种情况后面有引出一些附加的相对应的问题。

强烈建议机构在应急处理实践中考虑这些问题。

B.1场景所对应问题

准备/预防：

a）为了防止这种情况的发生和减小它的影响，采取了什么措施？

检测和分析：

a）这种恶意事件有哪些前兆呢？

如果有的话，组织能检测到吗？

哪种前兆将促使机构采取预防措施？

b）机构能检测到哪种前兆？

哪种前兆将导致人们认为恶意软件事件可能已经发生了？

c）应急处理小组怎么样分析和验证这类事件？

d）组织应该把这类事件向谁汇报呢？

e）事件响应小组如何确立处理这类事件的优先顺序？

遏制，清除和恢复：

a）处理小组采取什么样的策略来遏制这类事件？

这种策略比其他策略好在哪里？

b）如果这类事件不进行遏制将出现什么情况？

事后的工作：

a）谁将要参加这次的事件的经验教训会议？

b）为防止此类事件将来再发生应该做什么？

c）为提高检测此类事件的能力应该做什么？

一般性问题：

a）有多少事件响应小组成员将参与处理此事件？

b）除了事件响应小组外，在机构内还有什么团体或者个人将参与处理此事件？

c）小组将把事件报告给哪一外部参与方？

每份报告什么时候出？

每份报告将怎么做？

d）与外部参与方有什么其他的通讯联系发生？

e）在处理此事件时小组使用什么工具和资源？

f）事件发生在不同日期和时间，处理的什么方面不同？

g）如果事件发生在不同物理地点，处理的什么方面不同？

B.2案例

案例1：

蠕虫和DDoS代理入侵

在一个星期二早晨，一种新蠕虫被公布在互联网上。

蠕虫利用的两周前公开发布的MicrosoftWindows漏洞，在那个时候补丁已经发布。

蠕虫通过两种方式传播自己：

（1）通过电子邮件将自身发送到能找到的受感染主机的所有地址；

（2）找寻并发送自身到打开文件共享的主机。

蠕虫为它发送的每份副本生成不同的附件名；

每个附件有随机生成的文件名，而文件名使用的是超过十几个文件扩展名中的其中一个。

蠕虫也会从超过100个的电子邮件主题中去选择并找寻类似数量的电子邮件主体。

当蠕虫感染主机时，它会获得管理权并尝试使用文件传输协议（FTP）从不同IP地址下载DDoS代理。

（提供代理的IP地址数量是未知的）。

虽然防病毒软件供应商会很快发出对这种蠕虫的警告，但在任何供应商发布特征库之前它传播非常迅速。

在蠕虫开始传播后三小时，在防病毒特征库可用之前，机构已经被广泛感染。

下面是为此案例设置的附加问题：

a）事件响应小组如何辨识所有受感染主机？

b）在防病毒特征库发布之前机构如何去防止蠕虫进入机构？

c）在防病毒特征库发布之前机构如何去防止蠕虫由受感染主机传播？

d）机构将会给所有易受攻击的机器打补丁吗？

如果这样做的话，要怎么样做？

e）如果已经收到DDoS代理的受感染主机在第二天早晨被配置去攻击另一机构的网站，将怎么样去应对这一事件的变化？

f）事件响应小组将怎样让机构用户知道事件的状态？

如果因为蠕虫而使电子邮件服务超负荷或者不能用该怎么办？

g）如果有的话，小组将使用什么其他措施去照看目前没有连接到网络的主机（比如旅途中的员工，偶尔拨号的外部雇员）？

案例2：

外部DDoS攻击

在一个星期日晚上，机构的网络入侵检测传感器中的其中一个对进行大容量ICMPpings的可疑外部DDoS活动发出警告。

入侵分析师检查了这个警告；

虽然分析师不能确定这个警告是正确的，但他们不会和任何已知的误报相匹配。

分析师联系事件响应小组这样他就能进一步调查此活动。

因为DDoS活动使用骗人的源IP地址，去确认机构内哪一台或者哪些主机在进行此项活动需要花费相当多的时间和精力；

与此同时，DDoS活动仍在继续。

调查结果显示，7台服务器好像生成DDoS通讯。

服务器的初步分析显示每一个都有DDoSrootkit的迹象。

下面是此案例的附加问题：

a）小组将怎样确认机构内哪台主机在产生此通讯量？

其他的哪一小组可以协助事件响应小组？

b）在确认产生此通讯量的服务器后，小组将怎样推断出是否服务器受到恶意软件感染？

案例3：

XX访问薪水册

在一个星期三晚上，机构安全小组收到薪水管理人员的电话，而她碰见了离开其办公室的一个陌生人。

管理人员看见那人顺着走廊跑下去并进入通向大楼出口的楼梯。

管理人员在离开时工作台是开启的，并仅在几分钟时间内没有看管。

薪水程序仍然登录运行着并且留着主要的菜单画面，好像和管理人员离开时一样，但她发现鼠标似乎移动过。

事件响应小组被要求去找寻与此事件相关的证据，并去推断什么活动执行过（比如薪水数据库被访问或者