无论对于企业网络的正常运行,还是对于企业数据的安全保护,僵尸网络都为企业带来了极大的安全隐患。但是,发现一个僵尸网络并不是一件容易的事情,因为僵尸网络的控制者多数采用非常“隐蔽”的手法来控制其网络中的“僵尸主机”。但是我们也并非对它毫无办法,国外媒体Network World上的一篇文章就为我们介绍了六个方法。
1、部署一个网页过滤服务
网页过滤服务是打击僵尸网络最有效的方法之一。它可以对网站进行扫描,监测其是否有不正常的行为或是否存在已知的恶意行为,并阻挡用户访问这些站点。
通过部署网页过滤服务,企业可以实时地监视互联网,并查找从事恶意的或可疑的活动的站点,如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它骗局。
国内著名的软件与解决方案提供商东软目前就部署了Websense Enterprise来管理员工上网行为。一旦用户访问了具有恶意倾向的站点,Websense会阻挡其访问,并进行日志记录。
2、更换浏览器
当今恶意软件通常是以最流行的软件为目标,例如IE浏览器、火狐浏览器。那么,根据这个特点,另一个防止僵尸感染的策略就是更换浏览器,例如换成遨游浏览器或世界之窗等。
同样的策略也适用于操作系统。据统计,苹果的Mac系统受僵尸网络影响最少,同样的还有桌面Linux,因为大多数僵尸都是专门瞄准微软的Windows操作系统。
3、禁用脚本功能
反对僵尸网络,另一个更极端的做法是禁止浏览器使用脚本功能,但是如果企业员工在工作中需要使用特定的基于Web的应用,那么这个做法有可能会影响他们的工作效率。
4、部署入侵监测和防入侵系统
还有一个办法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统)来查找有僵尸嫌疑的行为。举个例子来说,任何计算机如果其互联网中继通讯突然爆发,那么它是非常可疑的。不断重复建立与外部IP地址或非法的外部DNS之间的连接。另外还有一个不易被发现的可疑现象是,一个计算机的特定端口的SSL通信连接突然上升,这可能说明一个僵尸网络控制通道已经被激活。找出那些电子邮件路由到你自己的邮件服务器之外的计算机。僵尸网络侦探Gadi Evron还建议,你应该学会监视那些可疑的网络爬虫(Web crawlers)行为。
一个IPS系统可以监控异常的行为,发现非常隐蔽的基于HTTP的攻击,以及来自远程调用过程、Telnet和地址解析协议欺骗的攻击。但是,值得牢记的是,许多IPS嗅探器使用基于特征码的检测方法,这意味着当攻击被发现的时候才能被加入到数据库中。IPS必须定期进行更新来识别新的攻击,这需要管理员不断的完善自己的特征码库。
5、保护用户发布的内容
你自己的Web行为也应当被保护,以免在不知情的情况下成为恶意软件作者的帮凶。除非你的企业正在成为下一代网络——Web 2.0社交网络的一部分,那么你的公司的公众博客和论坛应该限制为只支持文本,之前发生的Facebook留言板被黑客利用来传播病毒,很容易证明这一点的重要性。
如何制定规则要根据企业具体情况而定,如果你的站点需要让会员交换文件,也要设置规则来仅允许交换相对安全的文件类型,例如仅允许.jpeg或.mp3扩展名的文件。
6、使用一个补救工具
如果你在企业网络中发现了一台被感染的机器,那就应该考虑如何来最好的进行补救。像赛门铁克等公司都宣称它们可以探测和清除即时隐藏最深的rootkit感染。对于赛门铁克来说,它声称通过收购Veritas它获得了VxMS技术,可以让反病毒扫描器绕过Windows文件系统API。VxMS可以直接访问原始的Windows NT文件系统文件。其它试图查杀rootkit木马的反病毒厂商还有McAfee和FSecure。根据恶意软件作者水平不同,它们的成功率也会不同。
然而,在感染真正发生后再进行检测实际上是一件错误的事情。IT安全人士认为他们的计算机已经清除了僵尸,但是真正的僵尸代码却依然隐藏在系统内部。据安全专家称,“病毒不是一个解决方案,因为它实际上是一个自然的反应。反应度必须意识到这一点,因为反病毒软件本身也可能被控制。”
这不是说你不应该在你的防病毒软件中部署最好的反rootkit工具,而是说你应该意识到,这样做就如同你在丢失了一键很珍贵的东西后才买了一个保险箱。确保一台计算机绝对安全的唯一办法是,在探测到僵尸木马后彻底对其全新的系统重装。
安装专家们一致认为,通过不让用户访问恶意站点,监控你的网络中的异常行为,并保护你的站点免受攻击,你将处于一个非常安全的状态。
原文链接:http://www.pcworld.com/businesscenter/article/137821/six_ways_to_fight_back_against_botnets.html