企业网络感染恶意软件,可能导致关键信息系统或数据遭到破坏,直接威胁到企业的正常运营。为了应对这种情况,企业应该提前做好准备,建立恶意软件检测和响应能力。恶意软件可能通过通信工具(如电子邮件或即时通讯软件)、恶意网站或P2P连接以及系统漏洞进行传播。恶意软件通常具有在大型企业网络中快速传播的能力。对于企业而言,找出恶意软件的感染途径对于事件处理具有重要意义。促进恶意软件传播的系统主要是企业应用程序,尤其是那些直接连接并影响多个主机和端点的应用程序,包括:补丁管理系统资产管理系统远程协助或远程管理软件防病毒系统系统管理员或网络管理员的工作站集中备份服务器集中式文件共享服务器网络攻击者,虽然与恶意软件的行为不同,但也可能破坏企业的其他信息资源,从而影响企业关键数据和应用程序的可用性,例如:集中式存储设备,直接访问的潜在风险磁盘分区和数据仓库;网络设备,潜在风险——将虚假路由注入路由表,从路由表中删除特定路由,通过删除或修改配置降低关键网络资源的可用性。安全措施建议最常用的策略是提高企业对恶意软件的防护能力。对于容易受到恶意软件攻击的企业信息组件和系统,可以进行必要的安全评估,部署必要的安全防护措施。1.网络安全在企业网络中执行必要的网络分段和分区:只有在网络的访问控制列表(ACL)中配置为“允许”的端口和协议才允许服务器到主机和主机到主机的连接,并且只允许特定方向的数据通过。应定义、授权和记录所有数据流路径。增强可用作横向扩展或直接连接到整个企业网络中的其他端点的网关系统的安全性。确保这些网关系统包含在有限的VLAN中,并在其他网络之间建立有效的访问控制机制。确保集中式网络和存储设备的管理端口仅连接到有限的VLAN。实施分层访问控制:实施设备级访问控制——只允许来自特定VLAN和可信IP范围的访问。2.访问控制对于可以直接与多个端点接口的企业系统:交互式登录需要双因素身份验证。保证授权用户与企业内具体人员一一对应。如果可能,不应允许“Everyone”、“DomainUsers”或“AuthenticatedUsers”等用户组直接访问这些系统。每个企业应用程序服务仅分配并记录一个唯一的域帐户。分配给帐户的权限上下文应根据最小权限原则进行详细记录和配置。企业具有与应用服务账户分配相关的跟踪和监控能力。如果可能,尽量不要授予服务帐户本地或交互式登录权限。应明确拒绝服务帐户访问网络共享和关键数据位置。由集中式企业应用服务器或设备验证的帐户不应包含对整个企业下游系统和资源的权限。始终关注集中式文件共享访问控制列表及其分配的权限。尽可能限制写入/修改/完全控制权限。3、监控审计安全日志的常态化检查,关注企业级管理(特权)账户和服务账户的异常使用情况。登录尝试失败访问共享文件或目录远程交互式登录查看网络流量数据以了解异常网络活动。与特定端口的连接与该端口应用程序的标准流量、端口扫描或枚举相关的网络活动无关,通过端口的重复连接可用于命令和控制目的。确保网络设备具有日志记录功能并审核所有配置更改。持续检查网络设备配置和规则集,以确保通信连接符合授权规则。4、文件分发在整个企业安装补丁或杀毒升级包时,分阶段(预定时间段内)分发到特定的系统组。如果企业补丁管理或防病毒系统被用作恶意软件的分发媒介,此操作可以最大限度地减少总体影响。监控和评估整个企业补丁和防病毒升级的完整性。确保这些升级包仅来自可信来源,执行文件和数据完整性检查,监控和审计企业应用程序分发的所有数据。5.系统和应用加固企业可以根据行业标准或最佳实践建议对基础操作系统(OS)和支撑组件(如IIS、Apache、SQL)进行配置和加固,并根据供应商提供的最佳实践指南实施应用程序级安全控制。常见建议包括:构建基于角色的访问控制机制防止最终用户绕过应用程序级安全控制及时处理,尽快更新。业务恢复业务影响分析(BIA)是应急响应规划和准备的重要组成部分。业务影响分析有两个主要输出(与关键任务/业务运营相关),包括:系统组件表征和分类相互依赖性一旦企业的关键信息资产(及其相互依赖性)产生任何影响,就应考虑业务恢复工作。为了能够有效应对此类情况,企业应做好以下准备(应在应急演练中确认):列出所有关键业务系统和应用:版本信息系统或应用依赖系统分区、存储配置和连接性资产所有者和联系人组织内所有关键人员的联系方式恢复团队的安全通信方式外部支持组织或相关资源的联系方式信息和通信服务提供商软件和硬件组件供应商外部合作伙伴需要ISO或图像文件协调服务提供商对关键系统和应用程序恢复的企业采购联络点的支持:操作系统安装介质服务包或补丁固件应用软件安装包操作系统(OS)和相关应用程序许可证或激活密钥企业网络工作拓扑和架构图系统和应用程序相关文档操作清单或操作手册系统和应用程序配置备份文件的纸质副本数据备份文件(完整或差异备份)系统和应用程序安全基线、强化清单或指南系统和应用程序完整性测试和验收检查清单事件响应如果组织发现破坏性恶意软件大规模爆发的迹象,在事件响应过程中,应采取有效措施遏制其传播并防止企业网络的其他部分受到影响。遏制措施包括:识别任何异常行为系统感染并可能进一步传播的恶意软件类型:集中式企业应用程序集中式文件共享受感染系统共享的特权用户帐户网络分区或网络边界的通用DNS服务器可以根据恶意软件可能的传播方式,实施针对性的控制措施,进一步降低影响:实施基于网络的访问控制列表ACL,阻断被感染系统或程序与其他系统的通信功能,立即隔离特定系统或资源,或通过沙箱对其进行监控,为特定IP地址(或IP范围)实施空网络路由——使其无法与外部通信并传播恶意软件。服务器和应用程序解析为空地址立即禁用可疑用户或服务帐户删除对可疑文件共享的访问权限或禁用其共享路径防止其他系统访问
