网络安全基础-恶意软件

发布时间：2023-10-19 13:08:31 所属栏目：安全来源：

导读：这份白色 paper 提供了解释关于各种普通恶意程序攻击，不同类型的入侵检测系统（IDS）的信息和相关建议的材料以及一些参考文献资料。

技术摘要
恶意软件（恶意软件）是旨在破坏系统运行、窃取数据或未经授权访问

这份白色 paper 提供了解释关于各种普通恶意程序攻击，不同类型的入侵检测系统（IDS）的信息和相关建议的材料以及一些参考文献资料。

技术摘要
恶意软件（恶意软件）是旨在破坏系统运行、窃取数据或未经授权访问网络的代码。常见的恶意软件类型包括病毒、蠕虫、木马、僵尸网络、勒索软件、加密挖矿程序和远程管理工具(RAT)。
常见的恶意软件事件类型包括：

漏洞利用工具包(EK)–漏洞利用工具包是恶意工具包，用于识别和利用过时的软件（Java、Flash、Silverlight），以传播和下载其他恶意软件。EK是自动化的，不需要用户交互，但它们确实需要过时的软件/浏览器。这些事件均为确诊感染。
潜在的恶意下载–恶意下载是包含恶意代码的文件或应用程序，需要用户在目标应用程序中打开或运行。恶意下载伪装成合法软件，依赖用户交互来感染主机。这些事件均未确诊感染。
命令和控制(c2)–命令和控制(c2)用于报告受感染主机的状态、泄露数据以及向受感染系统发送命令。C2事件表明您网络上的主机感染了恶意软件。
要求
以下要求将减轻大多数恶意软件感染和爆发的风险。这些技术作为Microsoft Windows环境的一部分包含在内，通常不会产生任何额外的许可费用。

设计授权客户端软件的安全策略：这是非常重要的一步，因为它允许信息技术团队更有效地管理其系统和网络，同时使网络安全团队能够有效地响应事件并向管理层报告。授权软件是可以在您组织的信息技术资源上使用的任何软件。
最小特权原则(POLP)：最小特权原则是一个应作为网络安全策略的一部分应用的概念。POLP是限制用户访问其履行职责所需资源的做法。这个概念应该应用于这些用户将访问的组织资源的各个方面。在这种情况下，我们将重点关注两个组件来有效保护用户工作站。
应用程序白名单：应用程序白名单可防止未经授权的软件在托管系统上执行。这可以很简单，只需对系统进行基线设置并仅允许已安装的内容即可减少实施时间。还可以将常见目录（例如c:\program files\）的应用程序列入白名单。这需要适当的Windows 10许可，但是，您也可以使用软件限制策略(SRP)获得类似的结果。

本地管理权限：这通常是计算机安全中被滥用的一个方面。常见的安全权限和用户权限配置错误：

用户账户被添加到多个系统的本地管理员组中。
本地管理员账户使用共享密码。
服务账户被添加到本地管理员组并在工作站上分配用户权限，而没有适当的安全策略来管理这些账户。
用户账户控制已禁用。POLP概念应重点关注最终用户账户，因为这些账户拥有的权限允许系统感染恶意软件是更常见的情况。
通过应用程序白名单和将用户账户权限限制为仅需要的安全组的组合，您可以最大限度地减少恶意软件对系统的影响或完全防止感染。

实施POLP时需要考虑的一些注意事项：
使用SRP，您还需要允许系统库运行，例如允许c:\windows\目录。此外，您还需要允许系统上正在授权的应用程序的目录。

Office宏还需要配置Microsoft Office宏，以限制客户端配置允许用户在Microsoft Word等文档中启用和运行宏。这些文档通常作为恶意垃圾邮件传递，并且可以使用反垃圾邮件设备或软件更好地过滤掉。

Windows Server Update Services (WSUS)：WSUS可用于向托管系统安装关键安全更新。通过使用WSUS对工作站和服务器进行相应分组以有效定位目标系统，可以以最小的中断来完成此操作。优先系统将是最终用户。

基于Windows主机的防火墙：Windows防火墙是由Microsoft创建并内置于Windows中的安全应用程序，旨在过滤进出Windows系统的网络数据传输，并阻止有害通信和/或启动这些通信的程序。限制工作站到工作站的通信并启用入站和出站流量的日志记录非常重要。

建议
我们有以下建议：
建议调查受影响IP上的主机是否有受到损害的迹象并进行适当修复。
建议将对Internet资源的访问限制为仅授权主机，并将出站流量限制为仅授权Internet服务（例如HTTP/s和FTP）。
建议调查受影响的主机是否有过时的软件，并在适当的测试后进行更新。这样可以避免出现安全问题。

（编辑：马鞍山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!