信息安全技术恶意软件事件预防和处理指南

实用文档恶意软件事件预防和处理指南件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。默认拒绝denybydefault面搜索引擎和点对点文件共享服务)的用户应用程序，以及不需要的或者与机构提供有重复功能(例浏览器)是需要的，同时为配置和维护软件列出高级别的要求(比如软件更新频率，系统扫描范围和远程系统(例如远程办公)。务蠕虫，邮件群发蠕虫以及有容易辨识特性(例如主题，附件文件名)的病毒。d)通过应用程序协议分析检测并阻止一些未知威胁。e)可用流量来辨识蠕虫活动和其他形式的恶意软件，以及像后门和电子邮件生成器这样的攻击f)可以通过配置网络设备去限制个别主机或服务使用的带宽的最大值，可阻止不寻常的网络流c)产品应提供调节能力，这样可提高准确性；可阻止那些具有特征库性质的活动，以及阻止那些不可能造成误报符合非正常条件定义的活动。d)非正常条件定义允许使用或禁止使用拦截功能。e)可以调整基于主机的IPS软件去拥有高度的检测准确性，这将有助于阻止防病毒软件和其他为预防外部威胁，组织通常在其网络周边部署一个或多量与一套规则来比较进行工作，每一个规则通常都详细说明了一种网络或应用程序协议以及信息的来为预防恶意软件事件，机构应该实施默认拒绝规则集，为降低蠕虫的传播速度，考虑对外部系统(例如远程办公的家用系统，商业合作伙伴的系统)可以发送到机构网络的这种类型的网络通信制定限制措施机构应该确保他们的网络防火墙进行出口和入口过滤。为使每一条规则用的规则还允许进行的任何活动，机构应该定期审查网络防火墙规则集。网络防火墙经常执行网络地址转换(NAT)功能，这是将一个网络上的地址映射到另一个网络上地址的过程。在阻止基于互联网主机的网络NAT有地址映射成连接到互联网的网络中的一个或多个公共地址，使外部主机不能启动直接与内部主机的在防病毒软件和入侵预防软件不能监测以网络服务为攻击目标的新的重大恶意软件威胁时。机构应该为阻止基于网络服务的恶意软件事件发生迅速增加或更改防火墙规则。防火墙规则有助于阻止依赖特定IP地址的恶意软件的侵害，添加禁止涉及到外部主机IP地址的任何活动这一规则可以阻止特为预防恶意软件事件，机构应该让基于主机防火墙对进行的话，机构也应该对流出的网络信息实施默认拒绝规则网页和电子邮件中的潜在隐私问题等功能。整合了这些功能的基于主机防火墙不仅在预防多种类型的恶意软件事件方面很有效，而且在阻止恶意软件感染进行传播方面同样有效。多种类型恶意软件预防功能的工作站中的基于主机防火墙通常为恶意软件威胁缓解提供了最好的单一主机的技术控制，只要它被正确配置并在任何时候都保证更新最新的病毒特征库和软件。为了预防网络服务蠕虫和连接并攻击它们的其他威胁，可鉴于防火墙平常限制建立在组合型服务和主机IP地址基础上的出入网络活动，路由器通常以更广泛的，更少颗粒的规则来配置。通常情况下，机构使用一个或者多个将机构网络连接到互联网的路由器；它们被称为互联网边界路由器。这种路由器一般被部署在机构主要防火墙的前部，同时对网络活动做一些基本检查，比如出入数据的过滤，这样在阻止基于网络的蠕虫接触到防火墙方面有一定帮助。虽然防火墙也应该阻止这样的蠕虫，但让互联网边界路由器这样做可以减轻防火墙的负担。在重大蠕虫事件发生期间，为阻止进入的蠕虫活动机构可能需要重新路由器，这样防火墙就不会超负荷。在内部网中的路由器也可能为阻止网络间传播的某一特定服务活动而被重新配置；这可以阻止一个网络中的受感染主机传播恶意软件到其他网络。当需要帮助遏制蠕虫感染时，机构应很快准备更改ACL。6.4.6应用程序设置以及WORD等。在默认情况下，应用程序以功能性超可能的应用程序攻击向量，机构应该考虑禁用不需要的应用程序特性和功能，尤其是那些经常被恶意软件利用的。机构也应考虑辨识哪些是一般恶意软件繁殖方式的应用程序(比如Web浏览器，电子邮件客户端和服务器),同时考虑配置它们去过滤一些内容并禁止可能是带有恶意的一些活动。为预防恶例如，阻止具有和恶意代码(比如.pif,.vbs)关联的文件扩展名的以及可疑的组合型文件扩展名(比如.txt.vbs,.htm.exe)的附件。尽管这可以阻止未知威胁，但也可能不经意间阻止合法活动。一些机构更改可疑的电子邮件附件扩展名，这样接收者将不得不保存附件并在运行它之前给它重新命垃圾邮件经常用于网络钓鱼和间谍软件传播(例如网络爬虫经常包含在垃圾邮件中),在电子邮件服务器端或者客户端或者在基于网络的设备中的垃圾邮件过滤软件可显著减少到达用户端的垃圾邮尽管网页内容过滤软件通常被用来防止访问在工作空间中不合的网络钓鱼网站和其他恶意网站(比如企图传播恶意代码给访问者的)。网页内容过滤软件也可以阻止像Web浏览器和电子邮件客户端这样的应用程序可配置只允许符合要求的移动代码形式(比如JavaScript,ActiveX,Java)进入，同时仅运行来自特定位置(比如仅仅是内部网站)的移动代码。这可以有效阻止一些恶意移动代码，但也可能影响良性网站的功能。网页内容过滤软件也可用于监测与网页相关的网络活动同时阻止来自不可信位置大多数网页浏览器可用来提醒用户去接受或拒绝每一个cookie,或者去自动接受或拒绝会话c)计算机取证。机构至少应该有一名以上事件处理人员精通计算机取证工具和技术；d)对信息技术的广泛了解。这使得处理人员可以接触到恶意软件对该机构带来的潜在的和e)编程。机构至少应该有一名以上流行脚本和高级语言编程能力的维护人员各机构应该确保他们有必要的工具和资源，以协助处理恶意软件事件。常见的工具有包嗅探器、协议分析器、入侵检测系统、防火墙等。事件处理小组可以提前为未被感染的操作系统和应用程序文件建立哈希值，以便于更准确得确定恶意软件是否篡改了系统。必要的资源包括联络信息、备用通信通道、文档资源等，具体如表1。工具/资源说明恶意软件事件处理人员及其交流工具联络信息可以提供帮助信息的机构内部和外部小组成员等的联络信息(例如，电话号码、邮件地址),如防病毒软件提供商和其他事件响应小组在线设备提供给机构内其他小组的即时更新，包括升级信息传呼/手机号码小组成员的传呼机或手机，以便于休息时间和现场交流时便于沟通其他互联网访问方法遭遇严重恶意软件事件时，网络可能无法访问，这时需要使用其他方法来寻找有关新威胁的信息、下载补丁和更新、及得到其他网络资源作战室建立作战室，便于交流和协调工作；如果不需要固定的作战室，小组应该考虑制定一个建立临时作战室，以便于需要时使用分析恶意软件事件的软件和硬件工具笔记本电脑提供便携式工作站，方便分析数据和嗅探数据包备用工作站、服务器、网络设备用来在孤立环境中测试恶意软件；如果小组无法确定额外设备的代价，可以考虑使用测试实验室中的设备，或者使用操作系统仿真软件建立虚拟实验室存储介质如空白软盘和光盘，用来保存和传输恶意软件样本和其他需要的文件分析工具包嗅探器和协议分析仪用来抓取数据包和分析网络流量；最新的可信版本操作系统和分析工具；用来检测可能存在恶意软件感染的软件(例如，防病毒软件、间谍软件检测和清除软件、系统管理软件、网络取证工具)恶意软件事件分析资源端口列表包括常用端口和已知木马和后门端口号相关文档操作系统、应用程序、协议、反病毒和入侵检测标记等的文档关键资源目录关键资源的图标和目录，如网站，电子邮件和FTP服务器基线网络、系统和应用程序活动的预期基线恶意软件事件处理软件媒介包括操作系统启动磁盘和光盘、操作系统媒介、应用程序媒介安全补丁操作系统和应用程序供应商提供的安全补丁镜像软件操作系统、应用程序、存储在辅助媒介中数据的备份镜像恶意软件事件的标志可以分为两类：前兆和迹象。前兆是一个恶意软件攻击可能将要发生的标志。a)恶意软件公告。防病毒软件提供商和其他安全相关机构发布的有关新的重大恶意软件威胁的公的模块)进入机构或者进入一个安全措施不当的系统，从而造成事件的发生。d)用户抱怨互联网上主机的访问速度变慢，系统资源耗尽，磁盘访问速度缓慢，或者系统启动缓e)防病毒软件检测到某个主机感染蠕虫并产生一个警告。f)系统管理员检测一个文件名中带有异常字符。h)某用户尝试启动Web浏览器时，其电脑不断地重启。a)用户。用户经常向服务咨询部和其他技术支持人员报告恶意软件相关迹象。例如，用户可能发现他们工作站出现防病毒警告，可能出现启动失败，或者发现异常行为。用户可能是导致感染的原因，b)IT工作人员。系统、网络和安全管理人员以及其他IT工作人员通常熟悉正常的活动，他们对偏具产生的警告结合其他监控信息才能在检测恶意软件时有所帮助。恶意软件的特点太过繁多，制定一个全面的列表是不可行的。针对各类型的恶意软件和攻击工具，表2列出了恶意软件事件最有可能的迹象。这个表可以帮助迅速确定恶意软件并对其归类。得到管理员权限的恶意软件事件的迹象并没有在表2中列出。因为如果恶意软件可以得到系统的管理员权限，它可以在该系统中执行任意命令，而对该类事件的迹象几乎是数不胜数恶意软件类型攻击工具类型毒病型合复毒病宏码代动移意恶门后录记键按ttooR器成生件邮安全工具反病毒警告√√√√√√√√√√√间谍软件检测和清除工具√√√基于网络的入侵预防警告√√√文件更改时，基于主机的入侵检测警告√√防火墙和路由器日志列表√√可观察到的主机活动系统无法启动√√系统启动时显示错误信息√√系统不稳定，并发生崩溃√√√√√程序启动缓慢，运行缓慢，或者无法运行√√√√√√系统启动项出现未知进程√√√√不寻常和意想不到的端口√发送和接受的邮件数量突√√√文字处理软件、电子表格等模板更改√主页更改或新的工具条√√文件删除、崩溃或无法访问√√√√屏幕出现不寻常的条图，如奇怪的消息、图像、重叠或叠加消息框√√√√出现意外的对话框，请求允许做某事√√观察到的网络活动网络使用明显增加√√√√脆弱服务(如打开windows和失败的连接尝试√√主机和未知远程系统存在√√√√√√√√a)恶意软件分类(例如病毒，蠕虫，特洛伊木马);f)恶意软件如何影响系统(例如漏洞，错误的配置);具包应该包括最新的检测工具(例如防病毒软件，间谍软件检测和清除工具)来确定恶意软件、列出速度非常快，可能会在数分钟或数小时内产生重大影响，类似这样的恶意软件应该优先处理。其他类型的恶意软件例如特洛伊木马往往只影响单一的系统，其处理优先级应该参考该系统提供的服务和数据的价值。各机构应该建立一套标准来确定各种恶意软件相关情况的事件响应优先级。该标准应该考b)恶意软件类型(例如病毒、蠕虫和特洛伊木马);e)如果恶意软件事件没有被遏制，在接下来的几分钟、几小时、几天内被感染情况会是怎样的。恶意软件的遏制工作由两部分组成：防止恶意软件蔓延和进一步的破坏。在处理事件的前期，机构务必确定采用何种初始遏制方案。遏制孤立事件和仅涉及非感染性恶意软件事件的思路比较清晰，可以切断网络、关闭系统。针对于大范围感染事件，机构应该迅速使用一个能够帮助大部分系统遏止该事件的策略；这样可以减少被感染主机数、减少所产生的损失、以及减少恢复所有数据和服务所需在遏制恶意软件事件时，需要注意的是：阻止恶意软件的蔓延并不一定能防止所有的可能损害。即使机构已经阻止了它的蔓延，恶意软件还有可能会继续感染或者删除数据和应用程序、操作系统文产生额外的破坏。例如，被感染的系统可能会运行一个进程，使用这个进程周期性地和其他系统保持联系。如果断开网络，该联系就被破坏，恶意软件可能会覆盖该主机硬盘上所有数据。因此，处理人员不能因为主机网络连接断开就假设不会产生进一步的危害，大多数情况下，应该尽快采取消除策略各机构应该有一些策略和程序来帮助制定有关遏制方案，这些策略和程序反映了机构可以接受的风险。例如，机构内执行关键功能的系统被感染，该系统从网络中断开或者保持连接可能带来的风险更大，机构可能会决定该系统保持连接或者从网络中断开。遏制策略帮助事件处理人员根据特定情况用户参与，特别是在大规模事件中，可以说是遏制措施很有价值的一个部分。在系统被感染时，用户接受指令完成确定感染类型和实施响应策略，例如呼叫服务咨询部，断开网络连接，关闭系统电源。这些指令还可以是消除恶意软件指示，如更新防病毒特征、执行系统扫描或者是运行特定的恶意软件清除工具。尤其是在不受控制的环境或无法使用自动遏制策略的情况下，让用户完成这些工作更尽管电子邮件是最有效的沟通方式，在重大事件发生时，邮件服务可能中断，或者用户无法及时得到该邮件。因此，机构应该有一些候选的信息传输机制，例如在机构内部使用语音信箱、在工作区域粘贴公告、在建筑和办公入口处分发指令。在登录窗口显示系统信息可能会很有效，但是很多用户例如家庭办公室和小型分支办公室，因此要确保这些用户及时得到信息。还有一个重要的问题，用户可能需要一些软件例如清除工具、软件更新(如补丁和防病毒特征更新)。各机构要确定并使用多种尽管用户参与会对遏制工作有帮助，各机构不能把用户参与作为遏制恶意软件事件的依赖。不管遏制向导是如何传递给用户的，总有一些用户没有收到或者认为该向导和他们没有关系。此外，缺乏对指令的了解，执行过程中出现小的错误都会导致遏制失败。尽管如此，在涉及到机构内大量系统的多网络流量或者应用程序活动(例如邮件或者文件传输),很多应用程序可能会无法使用。迅速有效禁止某些服务(如大型的邮件列表)。无论哪种情况，关闭受影响的止影响所有服务的最好方法。该行动通常是在应用层(如关闭服务器上某个服务)实现或网络层(如配置防火墙来自机构IP地址或服务相关端口)实现。目的是在有效完成遏制的同时尽量减少被禁止的功能。为了帮助禁用网络服务，机构应该把所使用服务和对应TCP、UDP端口作为列表记录在案。恶意软件通常会影响邮件服务。病毒和蠕虫通过邮件蔓延后往往会使邮件服务崩溃。关闭邮件服务可以迅速遏制通过电子邮件传播的恶意软件，但是，在某些情况下，机构可能会提供一些未知的邮件服务(如文件服务器可能会无意中运行邮件服务器),这些邮件服务也需要关闭。感染不严重时，关闭部分邮件服务就可以达到有效地遏制，从而不会禁止邮件服务功能。例如，暂时禁止非管制邮件清单可能会明显减缓恶意软件的蔓延和减轻对邮件服务器的影响。同时，禁止某个服务可能会中断其他依赖此服务的服务。例如，禁用电子邮件服务可能会影响通过电子邮件复制信息的目录服务。各机构应该制定一个主要服务的依存关系列表，以便事件处理人员在制在一个高度集约环境中，如果新的病毒利用了邮件服务客户端的漏洞，用户可能被禁止使用该邮件客户端，但可以使用一个基于网络的邮件客户端作为替代，而这个客户端是没有漏洞可用的，这样做可以在遏制事件的同时为用户提供了邮件功能。这样的策略也可以用在web浏览器和其他通用的客户端各机构应该随时应对由于其他机构处理恶意软件事件时禁止了某项服务而产生的问题。例如，某机构中有一小组暂时在另一机构工作，该机构将邮件服务器配置为自动将该小组的邮件转发到另一机构的邮件服务器，那么如果另一机构禁用了邮件服务，转发的邮件可能会被反弹回去，然后再次被转临时限制网络连接可以有效遏制恶意软件事件。例如，当被感染系统企图和任意一个外部系统连接并下载rootkit时，事件处理人员可以阻止所有IP地址为外部的连接。同样，当被感染系统企图传是将该系统从网路中断开，重新配置网络设备拒绝网络接入、断开网线或断开感染系统的无线网卡。最具争议的遏制步骤是强行断开未受感染系统的网络。这将造成远程拨号用户和VPN用户等无法接入网络。在最坏的情况下，将子网或者整个机构的网络从互联网中断开可以阻止事件蔓延，停止损害，消除漏洞。当恶意软件已经造成大部分网络崩溃或对其他机构产生攻击时，断开网络连接来完成遏制对大多数机构来说都是可以接受的。因为大部分网络崩溃时，机构的许多功能都会受到影响，通各机构可以自行设计和部署网络，使通过断开网络遏制事件更容易进行例如，有些机构将其服务器和工作站放置在隔离的子网中；在恶意软件事件发生时，可以隔离受感染的工作站子网，服务器子网则能继续对外部和对没有感染的内部子网提供服务。另一种策略是使用隔离的虚拟局域网(VLAN),在这种策略中，当主机想连接网络时，首先要检查其安全态势。通常可以在每个主机上安装一个代理来监控主机的各种特性，如操作系统补丁和防病毒更新等。当主机尝试连接到网络时，路由器等网络设备首先询问主机上代理软件的一些信息。如果主机没有响应该请求或者用于常规网络中的主机，这样可以把受感染主机自动放置到隔离VLAN。为受感染主机准备一个隔离的VLAN能给机构内受严重限制的主机提供防病毒特征更新和操作系统、应用程序补丁。如果没有隔离的VLAN,机构可能需要将受感染主机完全从网络中隔离开，这样机些情况下非常有效，如将所有在同一网段的主机放在VLAN司法鉴定就是寻找近期系统被感染的证据。这些证据可以是最新的(几分钟内)或不是特别新的 检测和清除工具、内容过滤器(如反垃圾邮件措施)、基于主机的入侵预防软件。安全应用程序的日具也可以帮助确定恶意软件相关网络连接活动(例如，特定的端口号的组合，不寻常的协议); c)包嗅探器。配置包嗅探器使其寻找特定恶意软件威胁对应的数据包可以有效辨识被感染主机。如果大多数或者所有网络流量都经过同一个网络设备，使用包嗅探器可以有效辨识感染；洞评估软件不能识别出被新的威胁感染的主机。同样，如果主机上安装了基于主机的防火墙，很多漏e)主机扫描器。如果某个恶意软件威胁在被感染主机中安装后门，这些后门程序在运行时会使用某个特定端口，这样，使用主机扫描器就可以有效辨识被感染主机f)其他扫描器。除了主机扫描器外，还可以使用其他类型的扫描器来帮助辨识具有某些特征的主例如，主机扫描器可能无法辨识出使用个人防火墙的主机中的感染，因为防火墙阻止了该扫描器的运行，但是包嗅探器和登陆脚本可能能够辨识出来这些感染。虽然多种方法相结合的策略会产生高精确的效果，但是主动辨识需要反复使用，因为感染会频繁改变，而收集的数据隔一段时间就需要更新。手动识别是最为费力但又不可或缺的方法。当大量感染相关流量导致网络崩溃时，主动辨识策略很难实施。当恶意软件网络流量使用伪造地址，并产生大量活动时，取证方法可能失去效果，因为在大量的通信数据中，有效路径可能会丢失。在这样的情况下，手动辨识策略可能会是最好的选择。还有一些技术也可以实现手动辨识。其中一种是向用户提供恶意软件相关信息以及感染的标志、防病毒软件、操作系统或应用程序补丁、扫描工具，让他们自己判断是否被感染。还有一个类似的手动技术，本地技术人员(包括通常不参与处理恶意软件事件的人)检测所有的系统或者疑似被感染的系统。某些情况下，非技术人员也可以代替技术人员在远程办公室完成检测任务。对任何可能会帮助处理恶意软件事件的工作人员，应该提前安排好任务，并提供相应文档和周期性培训。对辨识工作的建议尽管主动辨识能得到最准确的结果，但却不是最快的方法。扫描机构内所有主机可能会耗费相当多的时间，同时因为断开或者被关闭的系统无法扫描。当感染在全机构范围内时，手动方法通常不可行，但在其他方法不能用时，它仍是辨识工作不可缺少的一部分。各机构应该根据他们的环境提前考虑可行的方法，并根据情况选择足够多的有效方法，为每一种方法制定流程和技术指标。各机构还应该确定哪些个人和群体能够帮助辨识感染。例如，安全管理人员(防病毒软件、IPS、防火墙、漏洞评估、扫描器),系统管理员(DNS、邮件和Web服务器),网络管理员(包嗅探器、路由器),桌面管理员(windows注册表或文件扫描、登陆脚本的变化)等都可以协助完成辨识工作。各机构要保证所有可能参与辨识工作的人员都了解自己的角色并且知道如7.4恶意软件的消除在对安全事件进行原因分析之后，事件处理人员将进一步对安全事件进行处理，具体工作包括：尽管消除策略的主要任务是清除被感染系统内恶意软件，但消除工作包括的内容远超过这些。如果感染是由于系统漏洞或者其他安全缺陷引起的，比如不安全的文件共享，那么消除工作还包括修复系统缺陷，这样才能防止系统再次感染。如果感染事件是通过切断被感染系统网络遏制的，那么该系意软件对系统破坏有限(如某个恶意软件只是改变了部分数据文件，可以完全被防病毒软件清除),7.6经验总结品数据，分析黑客入侵手法，调查造成安全事件的原因，确定安全事件的威胁和破坏的严重程度。根据整个事件的情况撰写《恶意软件事件应急响应报告》,文档中应阐述整个安全事件的现象、处理过程，处理结果、事件原因分析，并给出相应的安全建议。最后根据事件的处理过程总结经验教训，在e)重新配置恶意软件检测软件。检测软件可能需要按照不同方式重新配置。例一增加软件和特征的更新速度。一改进检测的准确性(如更少的误报和漏报)。一增加监控的范围(如监控额外的传输机制监控额外的文件和系统文件)。一根据检测到的恶意软件改变自动执行活动。(资料性附录)本标准中讨论了各种可以帮组有效遏制恶意软件事件的技术。尽管大部分技术也可以帮助预防、检测和消除恶意软件事件，本节侧重遏制，因为这是恶意软件事件处理时最复杂的一个环节。本附录总结了各种能有效遏制恶意软件事件的技术，并给读者提供了一些可以识别恶意软件的工具，这些工具在某些情况下可以作为制定有效遏制策略的基础。常用技术，同时提供了每种技术在应对不同类型恶意软件和攻击工具时的效率。为了便于描述，该表将各种环境分为两大类(可控制和不可控制),将各种威胁分为两大类(简单和复杂)。如下是每个分类代表的含义。作系统以及应用程序配置。这使得在最初部署系统和提供支持、维护时，能够有效实施安全措施，并且使得企业内部能够保持一个持续的安全态势。本节中提供的向导假设在可控制环境中，大部分系统防火墙使用默认拒绝策略；安装操作系统和应用程序补丁)理员权限。尽管系统最初可能使用企业的标准配置，但系统所有者和用户可以更改该配置，这将减弱荐的措施，而大部分系统都执行了一部分推荐措施。主题并且附件名只有三个固定的名称，那么这个蠕虫就是一个简单的威胁。如果一个后门只使用一个固定端口号并且只和固定IP地址通信，这个后门也算是一个简单威胁。生一些特征。例如，某大规模邮件蠕虫使用50个主题和50个文件名，并随机产生发送者地址，邮件内容和附件大小。还有一个例子是恶意移动代码，该代码从一个巨大的列表中选择IP地址并下载其负载。比起简单威胁，复杂威胁通常更难遏制。表A-1提供的是在可控制环境中处理简单威胁的向导。技术简单威胁，可控制环境不可控制环境下的显著差异复杂威胁的显著差异安全工具基于网络的防病毒软件能够非常有效地阻止所有企图通过网络监控点(例如网络防火墙)的已知类型恶意软件：能有效机构一些未知恶意软件无无基于主机的防病毒软件能非常有效地阻止企图感染主机的已知类型恶意软件(例如，工作站、服务器);能有效机构一些未知类型恶意软件效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件无间谍软件检测和能非常有效地阻止企图感染效率不高，因为一些无清除工具(通常基于主机)主机(例如，工作站、服务器)的已知类型间谍软件；能有效阻止一些未知类型间谍软件主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件基于网络的入侵预防系统能有效阻止大部分企图通过网络监控点(例如网络防火墙)的已知类型蠕虫；某些情况下，可以有效阻止未知蠕虫。有时能有效识别和阻止使用后门无通常效率很低，因为检测准确率很低如果威胁具有随机特征性，那通常是无法检测出来的基于主机的入侵预防系统有时能有效阻止企图攻击主机的已知和未知恶意软件(例如，工作站，服务器)能有效检测出企图更改关键系统文件的恶意软件效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件；同样，如果软件没有配置有效，也会降低检测的准确性通常效率很低，因为检测准确率很低基于网络的垃圾邮件过滤能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件无通常效率较低，因为检测准确率很低如果威胁具有随机特征性，那通常是无法检测出来的基于主机的垃圾邮件过滤能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件通常效率较低，因为检测准确率很低如果威胁具有随机特征性，那通常是无法检测出来的基于网络的web内容过滤能有效阻止基于web的已知恶意软件无通常效率较低，因为检测准确率很低基于主机的web内容过滤能有效阻止基于web的已知恶意软件效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件通常效率较低，因为检测准确率很低网络配置更改基于网络的防火墙一些基于网络的蠕虫可能会使用防火墙策略不允许的网络服务，该防火墙可以阻止这类蠕虫进入或离开网络无如果需要阻止的攻击者IP地址太多，效率可能会受影响如果外部服务和主机被恶意软件用作传输机制，该防火墙可以有效机构对这些服务和主机的访问能有效预防非授权主机产生的邮件(例如，被大规模邮件蠕虫感染的工作站)离开机构的网络能有效阻止主机访问恶意软件产生的攻击者IP地址，同时阻止攻击者IP地址对该网络的访问基于主机的防火墙能非常有效地预防网络服务蠕虫感染主机(例如，工作站，服务器)能有效预防被感染主机产生的边界活动离开主机(例如，后门，按键记录器，web浏览器活动，邮件生成器)效率不高，因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件，或者没有该安装防病毒软件无互联网边界路由器该路由器安全策略可以设置禁止使用某些网络服务，因此可以有效预防使用这些网络服务的基于网络蠕虫进入机构网络能有效阻止主机访问恶意软件(例如，后门，恶意移动代码，按键记录器，恶意浏览器插件)产生的攻击者IP地址，同时阻止攻击者IP地址对该网络的访问无如果需要阻止的攻击者IP地址太多，效率可能会受影响内部路由器该路由器安全策略可以设置禁止使用某些网络服务，因此可以有效预防使用这些网络服务的基于网络蠕虫进入机构网络能有效阻止主机访问恶意软件(例如，后门，恶意移动代码，按键记录器，恶意浏览器插件)产生的攻击者IP地址，同时阻止攻击者IP地址对该网络的访问能有效阻止被感染主机产生的邮件发送活动无如果需要阻止的攻击者IP地址太多，效率可能会受影响主机配置更改主机加固(包括安装补丁)能有效阻止利用主机漏洞或不安全设置的恶意软件产生的额外感染效率低下，因为很多主机没有打补丁或没有适当加固无邮件服务器设置(例如阻止邮件附件)能有效阻止基于邮件的恶意软件使用机构的邮件服务无通常有效低，因为检测准确率低如果威胁具有随机性特征，通常无法检测机构服务器上其他服务的设置有时可以有效阻止网络服务蠕虫无通常有效低，因为检测准确率低如果威胁具有随机性特征，通常无法检测应用程序客户端能有效阻止特定的恶意软件效率有限，因为用户无设置(例如，限需要完成某些设置(例制邮件客户端和如，手动更改设置，运web浏览器中的行分发的工具或脚本)移动代码执行)表A-2和A-3总结了表A-1的信息，指出了可控制环境中，每种技术针对简单(表A-2)和复杂好而对其他情况则效率很低或根本不起作用。空白格表示该技术不适合处理该类威胁。表A-4和A-5给出了不可控制环境下每种技术针对简单(表A-4)和复杂(表A-5)威胁的评价。恶意软件类型攻击类型虫蠕务服络网马木码代动移意恶门后器录记键按totooR件插器览浏意恶器成生件邮安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件HHHHHHHHHHH间谍软件检测和清除工具HHH基于网络的入侵预防系统MML基于主机的入侵预防系统LMLLLMLL基于网络的垃圾邮件过滤系统HLMH基于主机的垃圾邮件过滤系统HLMH基于网络的web内容过滤系统LMM基于主机的web内容过滤系统LMM网络配置更改基于网络的防火墙HMMMMMM基于主机的防火墙HMMMMM互联网边界路由器HMMMM内部路由器HMMMML主机配置更改主机加固(包括安装补丁)LLMMMM邮件服务器设置(例如，机构邮件附件)LLHMMH设置机构服务器提供的其他服务应用程序客户端设置(例如，限制邮件客户端或web浏览器执行恶意代码，限制在word处理器中使用宏)MMMM恶意软件类型攻击类型马木码代动移意恶门后ttooR器成生件邮安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件HHHHHHHHHHH间谍软件检测和清除工具HHH基于网络的入侵预防系统LLL基于主机的入侵预防系统LLLLLLLL基于网络的垃圾邮件过滤系统LL基于主机的垃圾邮件过滤LL基于网络的web内容过滤系统LLL基于主机的web内容过滤系统LLL网络配置更改基于网络的防火墙HMM基于主机的防火墙HMMMMM互联网边界路由器HM内部路由器HML主机配置更改主机加固(包括安装补丁)LLMMMM邮件服务器设置(例如，机构邮件附件)LLLL设置机构服务器提供的其他服务应用程序客户端设置(例如，限制邮件客户端或web浏览器执行恶意代码，限制在word处理器中使用宏)MMMM恶意软件类型攻击类型毒病宏虫蠕务服络网马木码代动移意恶门后totooR件插器览浏意恶器成生件邮安全工具HHHHHHHHHHHMMMMMMMMMMMMMMMMLLLLLLLLLHLMHMLMM统LMM统LMM网络配置更改HMMMMMM基于主机的防火墙MMMMMMHMMMMHMMMML主机配置更改LLLLHMMHLLLL浏览器执行恶意代码，限制在word处理器中使用宏)技术恶意软件类型攻击类型毒病宏虫蠕务服络网马木码代动移意恶门后器录记键按RRtiktoo件插器览浏意恶器成生件邮安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件MMMMMMMMMMM间谍软件检测和清除工具MM基于网络的入侵预防系统LLL基于主机的入侵预防系统LLLLLLLL基于网络的垃圾邮件过滤系统LL基于主机的垃圾邮件过滤系统LL基于网络的web内容过滤系统LLL基于主机的web内容过滤系统LLL网络配置更改基于网络的防火墙HMM基于主机的防火墙MMMMMM互联网边界路由器HM内部路由器HML主机配置更改主机加固(包括安装补丁)LL邮件服务器设置(例如，机构邮件附件)LLLL设置机构服务器提供的其他服务应用程序客户端设置(例如，限制邮件客户端或web浏览器执行恶意代码，限制在word处理器中使用宏)LLLL当机构制定遏制恶意软件事件策略时，应该考虑开发一些工具，在重大事件发生时，协助处理人员迅速选择和实施遏制策略。例如，假设一个新的网络服务蠕虫攻击机构，而且它看起来是利用机构内基于主机防火墙软件的一个漏洞。机构对该主机的操作系统和应用程序具有很大程度的控制权，因a)基于网络和主机的防病毒软件识别和清理受感染的系统b)基于主机防火墙防止蠕虫进入或者退出系统更新基于主机防火墙软件这样就可不被利用检测和拦截蠕虫进入或者退出网络和子网e)如果网络流量对网络防火墙而言太多而不能处理时或者某个子按照事件处理人员的判断，他们还可能会联系其他技术管在不可控制环境中，基于主机的防火墙一般不会集中控制。同样地，事件处理人员不能依靠基于主机防火墙的更新、重配置或其他更改来协助遏制事件。因此，事件处理人员需要依靠基于网络的控制来完成遏制，例如网络防火墙和路由器，而不能在主机层来完成事件处理工作(资料性附录)关于恶意软件事件处理场景的实践是提高恶意软件事件应急处理能力和发现潜在问题的一个廉并面对一些相关的问题。小组将会讨论出现的情况并讨论出最理想的解决方案。这样做的目的是确定处理人员在现实中遇到同样的问题会如何做，并且与推荐的策略相比较，以查明是否有缺点和不足。例如，在实践中可能会发现，所应用的应急处理措施可能会被延时，原因是缺少所需要的某种软件或B.1部分所列出的问题几乎适用于所有事件处理情况。这些问题后面跟着几种具体情况，每种情况后面有引出一些附加的相对应的问题。强烈建议机构在应急处理实践中考虑这些问题。施?a)为了防止这种情况的发生和减小它的影响，采取了什么措施?a)这种恶意事件有哪些前兆呢?如果有的话，组织能检测到吗?哪种前兆将促使机构采取预防措b)机构能检测到哪种前兆?哪种前兆将导致人们认为恶意软件事件可能已经发生了?c)应急处理小组怎么样分析和验证这类事件?d)组织应该把这类事件向谁汇报呢?e)事件响应小组如何确立处理这类事件的优先顺序?a)处理小组采取什么样的策略来遏制这类事件?这种策略比其他策略好在哪里?b)如果这类事件不进行遏制将出现什么情况?a)谁将要参加这次的事件的经验教训会议?b)为防止此类事件将来再发生应该做什么?c)为提高检测此类事件的能力应该做什么?a)有多少事件响应小组成员将参与处理此事件?b)除了事件响应小组外，在机构内还有什么团体或者个人将参与处理此事件?c)小组将把事件报告给哪一外部参与方?每份报告什么时候出?每份报告将怎么做?d)与外部参与方有什么其他的通讯联系发生?e)在处理此事件时小组使用什么工具和资源?f)事件发生在不同日期和时间，处理的什么方面不同?g)如果事件发生在不同物理地点，处理的什么方面不同?案例1:蠕虫和DDoS代理入侵在一个星期二早晨，一种新蠕虫被公布在互联网上。蠕虫利用的两周前公开发布的MicrosoftWindows漏洞，在那个时候补丁已经发布。蠕虫通过两种方式传播自己：(1)通过电子邮件将自身发送到能找到的受感染主机的所有地址；(2)找寻并发送自身到打开文件共享的主机。蠕虫为它发送的每份副本生成不同的附件名；每个附件有随机生成的文件名，而文件名使用的是超过十几个文件扩展名中的其中一个。蠕虫也会从超过100个的电子邮件主题中去选择并找寻类似数量的电子邮件主体。当蠕虫感染主