企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行 。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力 。
文章插图
恶意软件的扩散途径恶意软件可能会通过通信工具传播,如通过电子邮件或即时通信软件,也可以通过恶意网站或P2P连接传播,还可以通过系统漏洞传播 。恶意软件一般具备在大型企业网络快速传播的能力,对于企业而言,查清恶意软件的感染途径对于事件处理具有重要作用 。
有利于恶意软件传播的系统主要包括:
- 企业应用程序-尤其是那些直接与多个主机和终端连接并对其产生影响的应用,包括:
- 补丁管理系统
- 资产管理系统
- 远程协助或远程管理软件
- 防病毒系统
- 系统管理员或网络管理员的工作站
- 集中式备份服务器
- 集中式文件共享服务器
- 集中式存储设备
- 潜在风险--直接访问磁盘分区和数据仓库;
- 潜在风险--向路由表中注入虚假路由,从路由表中删除特定路由,通过删除或修改配置降低关键网络资源的可用性 。
网络安全
- 在企业网络中进行必要的网络分段和分区
- 仅允许网络的访问控制列表(ACL)中配置为“允许”的端口和协议进行服务器到主机和主机到主机的连接,并仅允许特定流向的数据通过 。
- 所有的数据流路径都应定义、授权和记录 。
- 增强可用作横向拓展或直接连接到整个企业网络中其他端点的网关系统的安全 。
- 确保这些网关系统包含在有限的VLAN中,并在其他网络间构建有效的访问控制机制 。
- 确保集中式网络和存储设备的管理端口仅连接有限的VLAN 。
- 实现分层访问控制
- 实现设备级访问控制施--仅允许来自特定的VLAN和可信IP范围的访问 。
- 对于可以直接与多个终端连接的企业系统:
- 交互式登录需要双因子身份验证 。
- 确保授权用户与企业特定人员一一对应 。
- 如果可能,不应允许“Everyone”,“ Domain Users”或“Authenticated Users”这样的用户组直接访问这些系统 。
- 每个企业应用程序服务仅分配唯一的域帐户并对其进行记录 。
- 分配给帐户的权限上下文应记录完整,并根据最小特权原则进行配置 。
- 企业具有跟踪和监视与应用程序服务帐户分配相关的能力 。
- 如果可能,尽量不要授予具有本地或交互式登录权限的服务帐户 。
- 应该明确拒绝服务帐户访问网络共享和关键数据位置的权限 。
- 集中式企业应用程序服务器或设备进行身份验证的帐户不应包含对整个企业下游系统和资源的权限 。
- 经常关注集中式文件共享访问控制列表及其分配的权限 。
- 尽可能限制写入/修改/完全控制权限 。
- 常态化检查安全日志,关注企业级管理(特权)帐户和服务帐户的异常使用情况 。
- 失败的登陆尝试
- 访问共享文件或目录
- 远程交互式登陆
- 查看网络流量数据以发现异常网络活动 。
- 特定端口的连接与该端口应用程序标准通信流不相关,
- 端口扫描或枚举相关的网络活动
- 反复通过某端口进行连接可用于命令和控制目的 。
- 确保网络设备具有日志记录功能并审核所有配置更改 。
- 不断检查网络设备配置和规则集,以确保通信连接符合授权规则
- 在整个企业中安装补丁或反病毒升级包时,请分阶段向特定的系统分组分发(在预定时间段内分阶段进行) 。
- 如果将企业补丁管理或反病毒系统用作恶意软件的分发媒介,则此操作可以最大程度地降低总体影响 。
- 监测和评估整个企业中的补丁和反病毒升级包的完整性 。
