软件什么是邮件服务器

目次前言I引言II1范围12规范性引用文件13术语和定义14缩略语25概述26恶意软件事件预防36.
1政策36.
2安全认知36.
3脆弱性缓解36.
4威胁缓解47恶意软件事件响应87.
1准备87.
2检测97.
3遏制137.
4消除187.
5恢复197.
7经验总结19附录A遏制技术总结(资料性附录)20附录B恶意软件事件处理场景(资料性附录)28B.
1场景所对应问题28B.
2案例28参考文献31前言本标准按照GB/T1.
1—2009给出的规则起草.
本标准由全国信息安全标准化技术委员会提出并归口.
本标准起草单位:中国科学院大学国家计算机网络入侵防范中心、西安电子科技大学、国家计算机病毒应急处理中心、中国科学院信息工程研究所.
本标准主要起草人:引言恶意软件(Malware),指所有对计算机用户构成危害的程序或者文件,具体包括计算机病毒、蠕虫、特洛伊木马等,能够对信息系统造成广泛的破坏.
制定此标准的目的在于增强机构对恶意软件事件的预防能力,为增强机构的事件响应能力提供广泛建议,以便于更好地应对恶意软件事件.

恶意软件事件预防和处理指南1范围本标准给出了对恶意软件事件进行预防和处理的指南.
包括恶意软件事件的预防及恶意软件事件的响应流程.
本标准适用于计算机安全工作人员、程序管理员、计算机安全事件响应小组等,以便于对恶意软件事件进行预防和应急响应.
2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》GB/T25069-2010《信息安全技术术语》3术语和定义下列术语和定义适用于本标准.
3.
1防病毒软件antivirussoftware用来监控主机和网络的监控程序,用来识别所有主流恶意软件、预防和遏制恶意软件事件.
3.
2后门backdoor接收并执行来自特定TCP和UDP端口的恶意程序.
3.
3混合攻击blendedattack利用多种感染或者传输方法的恶意软件攻击.
3.
4默认拒绝denybydefault配置防火墙或路由器,拒绝所有没有明确允许的流入流出流量,如某些不必要的服务,可能被用来传播恶意软件.
3.
5恶意软件malware所有对计算机用户构成危害的程序或者文件,具体包括计算机病毒、蠕虫、特洛伊木马等.
3.
6移动代码mobilecode从远程主机传送到本地系统的一个软件,通常不需要用户指令.
3.
7蠕虫worm一种独立程序,它可通过信息系统或计算机网络进行自身传播,从而造成恶意占用可用资源等损害.
[选自GB/T25069-2010,定义2.
1.
26]3.
8特洛伊木马trojanhorse一种表面无害的程序,它包含恶意逻辑程序,可导致未授权地收集、伪造或破坏数据.
[选自GB/T25069-2010,定义2.
1.
37]4缩略语ACL访问控制表(AccessControlList)DDoS分布式拒绝服务攻击(DistributedDenialofService)HTTP超文本传输协议(HypertextTransferProtocol)IDS入侵检测系统(IntrusionDetectionSystem)MAC媒体访问控制(MediaAccessControl)PIN个人识别码(PersonalIdentificationNumber)SMTP简单邮件传输协议(SimpleMailTransferProtocol)TCP传输控制协议(TransmissionControlProtocol)VLAN虚拟局域网(VirtualLocalAreaNetwork)APT高级持续性威胁(AdvancedPersistentThreat)IPS入侵防御系统(IntrusionPreventionSystem)5概述恶意软件也叫做恶意代码,指所有对计算机用户构成危害的程序或者文件,具体包括计算机病毒、蠕虫、特洛伊木马等.
通常使受害者的数据、应用以及操作系统的机密性、完整性和可用性受到威胁.
恶意程序主要类型及危害如下:a)病毒、蠕虫类:造成系统缓慢,数据损坏、运行异常;b)木马:主机被攻击者远程控制;c)僵尸网络程序:主机对外发动DDOS攻击、对外发起扫描攻击行为等;d)挖矿程序:造成系统资源大量消耗;e)Webshell后门:攻击者通过Webshell控制主机;f)网页挂马:页面被植入待病毒内容,影响访问者安全;g)网页暗链:网站被植入博彩、色情、游戏等广告内容.
恶意软件能导致大范围的破坏,迫使组织机构的服务停止,并需要进行大量的修复操作等.
这一指南旨在:提高组织和用户的安全预防意识,增强事件处理能力.
确保可预见的恶意软件事件得到有效的预防,减少常规恶意软件造成的损失.
确保新的恶意软件事件出现后,组织能有效评估并选择最恰当的处理.
指导用户对事件处理进行有效应对,减少对信息系统的影响.
方案分为恶意软件事件预防和恶意软件事件响应两部分.
6恶意软件事件预防6.
1预防政策的制定预防恶意软件事件的发生,在制定预防政策时应考虑以下几个方面:a)为预防恶意软件,来自机构外部的媒介在使用之前必须进行扫描;b)电子邮件,包括压缩文件(例如.
zip文件),应保存到本地驱动或者媒介中并在打开它们之前进行扫描;c)禁止通过电子邮件发送或接收某些类型文件(例如.
exe文件),同时在对即将发生的恶意软件威胁做出反应时允许某些其他文件类型阻塞一段时间;d)限制或禁止使用无用软件,例如经常被用来传输恶意软件(比如个人使用的外部即时消息,桌面搜索引擎和点对点文件共享服务)的用户应用程序,以及不需要的或者与机构提供有重复功能(例如电子邮件)但同时可能含有恶意软件或可能含有漏洞的那些服务;e)约束用户使用管理员级别的特权,限制用户把恶意软件带进系统的能力;f)系统应保持到最新的操作系统版本,并及时进行应用程序更新和打补丁;g)限制使用可移动媒介(例如软盘,CD,USB闪存),尤其是处在高风险感染的系统中时,例如公共可用机器;h)指明哪种类型的预防软件(比如防病毒软件,间谍软件检测和清除工具)对每种类型的系统(例如文件服务器,E-mail服务器,代理服务器,工作站,PDA)和应用程序(例如E-mail客户端,Web浏览器)是需要的,同时为配置和维护软件列出高级别的要求(比如软件更新频率,系统扫描范围和频率);i)只有通过机构批准和保障机制才允许访问其他网络(包括互联网);j)对防火墙配置更改必需经过正式的批准过程;k)指明始于不同来源(例如内部网络服务器,其他机构的网络服务器)的哪一种类型的移动代码可使用;l)限制在可信任网络中使用移动设备.
6.
2用户安全认知为预防恶意软件事件的发生,在用户使用过程应做到如下几点:a)不打开从未知或已知发送者那里来的可疑电子邮件或者电子邮件;b)不要点击可疑的Web浏览器弹出式窗口;c)不要访问可能含有恶意内容的网站;d)不打开那些可能与恶意软件相关联的有文件扩展名的文件(例如.
bat,.
com,.
exe,.
pif,.
vbs);e)不要抑制附加的安全控制机制功能(例如防病毒软件,间谍软件检测和清除工具,个人防火墙);f)对常规的系统操作不使用管理员级别的账户;g)不要下载或执行来自不可信任来源的应用程序.
机构也应该给用户提供为避免钓鱼攻击的建议,例如:a)用户不要通过电子邮件回复金融或个人信息.
机构不应该通过电子邮件要求得到这些信息;b)在回应电子邮件或自动弹出式窗口时不要提供密码,PIN或者其他存取号码.
只将这些信息输入到机构合法网站中去;c)不要打开可疑的电子邮件,即便来自熟人.
如果收到意想不到的,通过电话等方式联系发送者去确认的真实性,而不要通过电子邮件确认;d)不要回应任何可疑的或不想要的电子邮件.
6.
3软件的脆弱性缓解6.
3.
1补丁管理给系统打补丁是最常见的缓解操作系统和应用程序脆弱性的方法.
补丁管理应做到以下几点:评估补丁的临界态以及使用或者不使用它们的影响,全面测试补丁,以可控方式使用补丁,并记录补丁的评估和决策过程.
恰当的测试新补丁并对漏洞进行修复,减少漏洞公布到恶意代码攻击的窗口时间.
在某些情况下,利用其他的脆弱性缓解技术或威胁缓解技术而不单纯的等待补丁修复.
当补丁被完全测试并发现可利用时,要确保它适用于机构中每一个易受攻击的机器,特别是远程系统(例如远程办公).
6.
3.
2最小特权原则最小特权原则指的是通过配置主机给适当的用户,进程和主机提供最低限度的权力.
最小特权管理应做到以下几点:优先应用最小特权以减少由恶意软件造成的大量破坏.
机构内的服务器和网络设备应用,应进行用户管理,对不同角色赋予不同的最低权限.
6.
3.
3其他主机加固措施为进一步降低恶意软件事件发生的可能性,机构应该考虑应用其他主机加固措施,这些措施如下:a)禁止使用或者卸载不必要的服务,尤其是网络服务;b)删除不安全的文件共享;c)删除或者改变操作系统和应用程序的默认用户名和密码;d)在使用网络服务之前要求对使用者进行身份验证;e)禁止自动运行二进制文件和脚本程序.
6.
4恶意软件威胁缓解6.
4.
1防病毒软件的功能需求通过部署防病毒软件,并正常运行防病毒软件,是恶意软件威胁缓解最常见的技术.
对防病毒软件应提供以下保护功能:a)扫描系统的关键组件,例如启动文件和引导记录;b)检查可疑活动在系统中进行实时观测活动;一个常见例子是扫描所有电子邮件以防已知病毒作为电子邮件被发送和接收.
防病毒软件应该被配置去进行实时扫描下载,打开和运行的每一个文件;c)监测常见的应用程序例如电子邮件客户端,Web浏览器,文件传输程序以及即时通讯软件的行为.
防病毒软件应该能监测那些最有可能被用于感染系统和向其他系统传播恶意软件的应用程序的活动;d)扫描文件并查杀已知病毒.
系统中的防病毒软件应该被配置去定期扫描所有硬盘驱动,以便确认任何受感染系统,同时可选择性的扫描其他存储媒介.
用户可以按照需要执行手动扫描;e)可以检测常见恶意软件——病毒,蠕虫,特洛伊木马,恶意移动代码和混合型攻击——以及像按键记录器和后门等攻击工具.
同时需要防毒软件支持监测间谍软件的功能.
6.
4.
2防病毒软件部署和管理防病毒软件对预防恶意软件事件发生非常重要,防病毒软件部署和管理应做到以下几点:机构在符合要求的防病毒软件可获得的情况下应在所有系统中安装防病毒软件.
防病毒软件应该在操作系统安装后就立即安装上,然后更新到最新的病毒特征库,并安装防病毒软件补丁.
防病毒软件应该正确的配置和维护,确保它可以持续有效地检测和阻止恶意软件攻击.
在可控制环境中,机构应该集中管理由防病毒管理员定期控制和监测的防病毒软件,这些防病毒管理员通常负责获取,测试,核实和发布防病毒特征,同时在机构内进行软件更新.
用户应该无法禁用或者从他们的系统中卸载防病毒软件,也应该无法更改任何关键设置.
防病毒管理员应该进行定期检查并确保系统正在使用最新的防病毒软件,保证软件是正确配置的.
在不可控制环境中,机构应该考虑改动到可控制环境中去.
在用户完全控制他们自己系统的环境中,机构应做到以下几点:机构发送定期提醒给本地系统管理员和用户,及时更新病毒特征库;进行保证软件更新重要性的认知培训;为更新系统发布渐进式操作指南;当重大新威胁出现时通知本地系统管理员和用户进行防病毒特征库的必要更新.
集中管理防病毒部署的机构应该确保他们的运行有足够的备份和能力去满足平常和峰值时的需要.
为预防病毒服务器的漏洞造成的影响,机构可以考虑使用一个不同的操作系统平台作为防病毒服务器,而不是使用机构中大多数服务器和工作台.
为提高预防恶意软件能力的另一可能措施是在像电子邮件服务器这样的关键系统中使用多种防病毒产品.
5.
4.
3间谍软件检测和清除工具找出系统中多种类型的间谍软件并隔离或者删除是减少间谍软件危害的有效措施.
间谍软件检测和清理工具应具备以下功能:a)监测最有可能把间谍软件装入系统的应用程序的活动,例如Web浏览器和E-mail客户端;b)进行定期扫描文件,内存和配置文件的活动寻找可知的间谍软件;c)辨认多种类型的间谍软件,这其中包括恶意移动代码,特洛伊木马和追踪cookies;d)隔离或者删除间谍软件文件;e)监测网络驱动和Windows的shell设置;f)监测在启动时自动加载的进程和程序;g)预防间谍软件安装的几种方法,其中包括弹出式广告,追踪cookies,浏览器插件的安装以及浏览器欺骗.
部署和管理间谍软件检测和清理工具应考虑以下几点:a)为减少间谍软件的威胁,机构可以使用间谍软件检测和清除工具,或者使用具备识别间谍软件威胁能力的防病毒软件.
b)为提高间谍软件检测能力,软件应该保证有最新的特征库,并能实时进行软件更新.
c)为集中化管理和监测,机构应该决定应用程序应如何分布,配置和维护,以及如何去监控间谍软件的活动并找出间谍软件事件.
6.
4.
4入侵防御系统为了能预防恶意软件事件,基于网络的入侵防御系统(IPS)应满足以下功能:内置包嗅探器和分析网络流量功能,通过接收数据包,分析数据包,能阻止不符合要求的数据包,并让符合要求的数据包通过.
可以在恶意攻击到达既定目标之前被有效检测出.
例如检测出攻击应用程序(例如电子邮件服务器,网络服务器)的恶意活动.
能检测到一些恶意软件实例,例如重大的蠕虫威胁.
有效的阻止已知的具体威胁,如网络服务蠕虫,邮件群发蠕虫以及有容易辨识特性(例如主题,文件名)的病毒.
通过应用程序协议分析检测并阻止一些未知威胁.
可用流量来辨识蠕虫活动和其他形式的恶意软件,以及像后门和电子邮件生成器这样的攻击工具.
可以通过配置网络设备去限制个别主机或服务使用的带宽的最大值,可阻止不寻常的网络流量.
基于主机的IPS应满足以下功能:可监测网络流量,系统登陆,运行进程,文件访问和修改,以及系统和应用程序配置的变化.
可辨识系统中已知和未知攻击.
产品应提供调节能力,这样可提高准确性;可阻止那些具有特征库性质的活动,以及阻止那些不可能造成误报符合非正常条件定义的活动.
非正常条件定义允许使用或禁止使用拦截功能.
可以调整基于主机的IPS软件去拥有高度的检测准确性,这将有助于阻止防病毒软件和其他技术控制不能识别的未知威胁.
比如域名系统(DNS).
6.
4.
5防火墙和路由器6.
4.
5.
1网络防火墙为预防外部威胁,组织通常在其网络周边部署一个或多个网络防火墙.
网络防火墙通过将网络流量与一套规则来比较进行工作,每一个规则通常都详细说明了一种网络或应用程序协议以及信息的来源和目的地.

为预防恶意软件事件,机构应该实施默认拒绝规则集,这意味着防火墙拒绝任何没有专门允许进出的网络信息.
为降低蠕虫的传播速度,考虑对外部系统(例如远程办公的家用系统,商业合作伙伴的系统)可以发送到机构网络的这种类型的网络通信制定限制措施.
机构应该确保他们的网络防火墙进行出口和入口过滤.
为使每一条规则有效并鉴别出不再允许使用的规则还允许进行的任何活动,机构应该定期审查网络防火墙规则集.
网络防火墙经常执行网络地址转换(NAT)功能,这是将一个网络上的地址映射到另一个网络上地址的过程.
在阻止基于互联网主机的网络服务蠕虫去接触机构内部主机时,用NAT将内部网络的私有地址映射成连接到互联网的网络中的一个或多个公共地址,使外部主机不能启动直接与内部主机的连方面很有用.

在防病毒软件和入侵预防软件不能监测以网络服务为攻击目标的新的重大恶意软件威胁时.
机构应该为阻止基于网络服务的恶意软件事件发生迅速增加或更改防火墙规则.
防火墙规则有助于阻止依赖特定IP地址的恶意软件的侵害,添加禁止涉及到外部主机IP地址的任何活动这一规则可以阻止特洛伊木马到达机构.

6.
4.
5.
2基于主机的防火墙基于主机的防火墙能够限制个人主机出入的网络活动,这样可以阻止主机受感染同时可以阻止受感染主机传播恶意软件给其他主机.
为预防恶意软件事件,机构应该让基于主机防火墙对进入的网络信息实施默认拒绝规则.
如果可行的话,机构也应该对流出的网络信息实施默认拒绝规则.
除了限制建立在规则基础上的网络活动,许多工作站中的基于主机的防火墙含有防病毒软件和入侵预防软件功能,另外还具有阻止Web浏览器弹出窗口,约束移动代码运行,抑制cookies以及辨识网页和电子邮件中的潜在隐私问题等功能.
整合了这些功能的基于主机防火墙不仅在预防多种类型的恶意软件事件方面很有效,而且在阻止恶意软件感染进行传播方面同样有效.

多种类型恶意软件预防功能的工作站中的基于主机防火墙通常为恶意软件威胁缓解提供了最好的单一主机的技术控制,只要它被正确配置并在任何时候都保证更新最新的病毒特征库和软件.
为了预防网络服务蠕虫和连接并攻击它们的其他威胁,可以从网络直接访问的系统总是可能通过基于主机的防火墙来受到保护.
6.
4.
5.
3路由器鉴于防火墙平常限制建立在组合型服务和主机IP地址基础上的出入网络活动,路由器通常以更广泛的,更少颗粒的规则来配置.
通常情况下,机构使用一个或者多个将机构网络连接到互联网的路由器;它们被称为互联网边界路由器.
这种路由器一般被部署在机构主要防火墙的前部,同时对网络活动做一些基本检查,比如出入数据的过滤,这样在阻止基于网络的蠕虫接触到防火墙方面有一定帮助.
虽然防火墙也应该阻止这样的蠕虫,但让互联网边界路由器这样做可以减轻防火墙的负担.

在重大蠕虫事件发生期间,为阻止进入的蠕虫活动机构可能需要重新配置一些他们的互联网边界路由器,这样防火墙就不会超负荷.
在内部网中的路由器也可能为阻止网络间传播的某一特定服务活动而被重新配置;这可以阻止一个网络中的受感染主机传播恶意软件到其他网络.
当需要帮助遏制蠕虫感染时,机构应很快准备更改ACL.

6.
4.
6应用程序设置许多恶意软件利用常见应用程序具有的特性,这些应用程序比如有电子邮件客户端,Web浏览器以及WORD等.
在默认情况下,应用程序以功能性超过安全性来进行配置.
因此,为阻止恶意软件使用可能的应用程序攻击向量,机构应该考虑禁用不需要的应用程序特性和功能,尤其是那些经常被恶意软件利用的.
机构也应考虑辨识哪些是一般恶意软件繁殖方式的应用程序(比如Web浏览器,电子邮件客户端和服务器),同时考虑配置它们去过滤一些内容并禁止可能是带有恶意的一些活动.
为预防恶意软件事件,一些可用的应用程序应设置如下:a)阻止可疑的电子邮件例如,阻止具有和恶意代码(比如.
pif,.
vbs)关联的文件扩展名的以及可疑的组合型文件扩展名(比如.
txt.
vbs,.
htm.
exe)的.
尽管这可以阻止未知威胁,但也可能不经意间阻止合法活动.
一些机构更改可疑的电子邮件扩展名,这样接收者将不得不保存并在运行它之前给它重新命名,这在一些要求功能和安全配合的环境中是好的折衷方案;b)过滤垃圾邮件垃圾邮件经常用于网络钓鱼和间谍软件传播(例如网络爬虫经常包含在垃圾邮件中),在电子邮件服务器端或者客户端或者在基于网络的设备中的垃圾邮件过滤软件可显著减少到达用户端的垃圾邮件的数量,这将会让由垃圾邮件引发的恶意软件事件相应减少;c)过滤网站内容尽管网页内容过滤软件通常被用来防止访问在工作空间中不合适的信息,但它也可能含有一系列的网络钓鱼网站和其他恶意网站(比如企图传播恶意代码给访问者的).
网页内容过滤软件也可以阻止不想要的文件类型,例如带有文件扩展名的;d)限制移动代码运行像Web浏览器和电子邮件客户端这样的应用程序可配置只允许符合要求的移动代码形式(比如JavaScript,ActiveX,Java)进入,同时仅运行来自特定位置(比如仅仅是内部网站)的移动代码.
这可以有效阻止一些恶意移动代码,但也可能影响良性网站的功能.
网页内容过滤软件也可用于监测与网页相关的网络活动同时阻止来自不可信位置的特定类型移动代码;e)限制网页浏览器cookies大多数网页浏览器可用来提醒用户去接受或拒绝每一个cookie,或者去自动接受或拒绝会话cookies但也会自动提醒用户去接受每个永久性cookie或者拒绝永久性cookies.
大多数网页浏览器可配置为只接受用户要访问的网站cookies(被叫作第一方cookies),而不是广告客户和其他参与方的网站cookies(称为第三方cookies).
接受第一方cookies同时阻止第三方cookies可有效减少安装在系统中的追踪cookies的数量;f)拦截网页浏览器弹出式窗口一些弹出式窗口被创建的像合法的系统消息框或网站,这样可欺骗用户进入这些假冒网站,这些站点包括用于钓鱼的网站,或者有权更改系统,或者欺骗用户进行其他的恶意行动.
大多数网页浏览器可拦截弹出式窗口;其他的可通过给网页浏览器安装第三方弹出式拦截软件;g)防止软件安装在网页浏览器中一些网页浏览器通过配置可提醒用户允许安装像Web浏览器插件这样的软件.
一些浏览器甚至阻止任何网站安装软件在客户端.
这些设置特别有助于防止安装间谍软件到Web浏览器中;h)防止自动加载电子邮件图像大多数电子邮件客户端被设置成不会自动加载含在电子邮件中的图像.
这样特别有助于阻击基于电子邮件的网络爬虫.
利用这种配置,卸载掉网络爬虫的略图显示为电子邮件中的一小框,这样用户的活动就不会被跟踪除非用户选择加载图像;i)改变文件关联改变系统中那些最常被恶意软件利用的文件类型的文件关联(比如.
pif,.
vbs),这样当用户试图打开这些文件时就不会自动运行了.
j)防止宏应用像WORD和电子表格这样的应用程序经常包含宏语言;宏病毒就利用的这点.
大多数带有宏功能的普通应用程序具有宏安全特性,这些特性只允许宏来自可信位置,或者提醒用户同意或者拒绝每次运行宏;k)防止打开中继型电子邮件允许打开中继的电子邮件服务器给大量邮件群发蠕虫提供了一种简单的方法去传播.
为防止打开中继并去记录下所有使用它们作为中继的尝试,机构应该考虑配置电子邮件服务器.
7恶意软件事件响应7.
1事件响应准备需要特别高的恶意软件事件处理能力的机构,除了成立一个一般事件响应小组外还有一个专门的恶意软件事件响应小组.
因为恶意软件事件在短短几分钟内可能会对整个机构造成广泛的负面影响,各机构应该制定针对特定恶意软件的事件处理策略和流程来应对,为所有可能参与恶意软件事件处理的个人和团队定义角色和相应的责任.
经常对小组成员进行培训,能够保证恶意软件策略和流程的准确性和全面性.

机构还应该采取其他筹备措施,以确保他们有能力做出有效的反应,包括在事件响应小组内建立健全响应恶意软件的相关技能,加强机构内部的沟通和协作,并获取必要的工具和资源.
与外包机构建立合作关系,必要时能及时请求外援.

7.
1.
1恶意软件相关技能除了标准的事件响应小组技能外,恶意软件事件处理人员需掌握以下技能:a)恶意软件感染方法.
所有的恶意软件事件处理人员都应该对每一大类的恶意软件感染系统和传播有一个透彻的了解;b)恶意软件检测工具.
恶意软件可以使用防病毒软件、基于网络和主机的入侵防御软件、间谍软件检测和清除工具以及其他类型的工具来检测.
事件处理人员熟悉该机构的恶意软件检测工具的实施和配置情况,他们还应该能够分析支持数据和确认特定的威胁.
所有的事件处理人员都应该熟悉该机构的防病毒软件;c)计算机取证.
机构至少应该有一名以上事件处理人员精通计算机取证工具和技术;d)对信息技术的广泛了解.
这使得处理人员可以接触到恶意软件对该机构带来的潜在的和有可能产生的影响,从而为遏制、消除和恢复工作做出明智的建议;e)编程.
机构至少应该有一名以上流行脚本和高级语言编程能力的维护人员;7.
1.
2工具和资源各机构应该确保他们有必要的工具和资源,以协助处理恶意软件事件.
常见的工具有包嗅探器、协议分析器、入侵检测系统、防火墙等.
事件处理小组可以提前为未被感染的操作系统和应用程序文件建立哈希值,以便于更准确得确定恶意软件是否篡改了系统.
必要的资源包括联络信息、备用通信通道、文档资源等,具体如表1.

表1恶意软件处理人员的工具和资源工具/资源说明恶意软件事件处理人员及其交流工具联络信息可以提供帮助信息的机构内部和外部小组成员等的联络信息(例如,电话号码、邮件地址),如防病毒软件提供商和其他事件响应小组在线设备提供给机构内其他小组的即时更新,包括升级信息传呼/手机号码小组成员的传呼机或手机,以便于休息时间和现场交流时便于沟通其他互联网访问方法遭遇严重恶意软件事件时,网络可能无法访问,这时需要使用其他方法来寻找有关新威胁的信息、下载补丁和更新、及得到其他网络资源作战室建立作战室,便于交流和协调工作;如果不需要固定的作战室,小组应该考虑制定一个建立临时作战室,以便于需要时使用分析恶意软件事件的软件和硬件工具笔记本电脑提供便携式工作站,方便分析数据和嗅探数据包备用工作站、服务器、网络设备用来在孤立环境中测试恶意软件;如果小组无法确定额外设备的代价,可以考虑使用测试实验室中的设备,或者使用操作系统仿真软件建立虚拟实验室存储介质如空白软盘和光盘,用来保存和传输恶意软件样本和其他需要的文件分析工具包嗅探器和协议分析仪用来抓取数据包和分析网络流量;最新的可信版本操作系统和分析工具;用来检测可能存在恶意软件感染的软件(例如,防病毒软件、间谍软件检测和清除软件、系统管理软件、网络取证工具)恶意软件事件分析资源端口列表包括常用端口和已知木马和后门端口号相关文档操作系统、应用程序、协议、反病毒和入侵检测标记等的文档关键资源目录关键资源的图标和目录,如网站,电子邮件和FTP服务器基线网络、系统和应用程序活动的预期基线恶意软件事件处理软件媒介包括操作系统启动磁盘和光盘、操作系统媒介、应用程序媒介安全补丁操作系统和应用程序供应商提供的安全补丁镜像软件操作系统、应用程序、存储在辅助媒介中数据的备份镜像7.
2恶意软件事件检测7.
2.
1恶意软件事件的标志恶意软件事件的标志可以分为两类:前兆和迹象.
前兆是一个恶意软件攻击可能将要发生的标志.
迹象是恶意事件可能已经发生或者将会发生的标记.
大部分恶意软件前兆有如下几种形式:a)恶意软件公告.
防病毒软件提供商和其他安全相关机构发布的有关新的重大恶意软件威胁的公告.
事件处理人员应该订阅恶意软件公告邮件列表,这样就可以提前知道未来几小时或者几天内可能会影响到该机构的威胁.
事件处理人员还可以从通用邮件列表中或其他已经受到影响的机构得到有关新的恶意软件的报告.
此外,机构还可以使用一些有偿服务,如早期预警服务来确定和分析新出现的恶意软件威胁,这样的服务提供商通常为该服务订阅者提供特殊的可靠信息,这些信息通常是在公开发布之前提供给订阅者.

b)安全工具警告.
类似的防病毒软件和IPS这样的工具能够检测或者预防恶意软件感染系统.
这些行动导致安全工具产生警告,而这些警告就是对可能会发生的事件的预告.
比如,恶意软件企图通过某种手段进入系统失败后,同样类型的恶意软件可能会通过其他不受监控的攻击向量(例如,一个不安全的模块)进入机构或者进入一个安全措施不当的系统,从而造成事件的发生.

前兆检测使机构有机会通过改变安全姿态来预防事件,或者在检测到前兆之后迅速提高警惕.
在大多数情况下,如果几乎可以确定该机构即将发生一个重大事件,机构可以假设该事件已经发生并启动事件响应预案.
然而,大部分情况下,恶意软件事件并没有明确的前兆,并且事件往往紧随前兆发生;因此机构不应该单纯依靠这种预先警告.

虽然事件发生前通常没有明确的前兆,往往有很多迹象能够表明恶意事件正在发生.
这些迹象如下:c)Web服务器崩溃.
d)用户抱怨互联网上主机的访问速度变慢,系统资源耗尽,磁盘访问速度缓慢,或者系统启动缓慢.
e)防病毒软件检测到某个主机感染蠕虫并产生一个警告.
f)系统管理员检测一个文件名中带有异常字符.
g)某主机日志中记录了一个审计配置变化.
h)某用户尝试启动Web浏览器时,其电脑不断地重启.
i)某邮件管理员检测到大量内容可疑的弹回邮件.
j)防病毒软件和个人防火墙等安全控件被禁止.
k)某网络管理员检测到网络流量偏离正常.
这些迹象中的大部分可能导致除恶意软件外其他事件的发生.
比如,Web服务器崩溃可能是因为非恶意软件攻击,操作系统缺陷或者电源断电等.
弹回邮件可能由于系统硬件故障或者邮件服务器配置不当或者由垃圾邮件发送者伪造.
这些并发事件说明了检测和验证恶意软件事件面临的挑战,从而需要训练有素、专业知识丰富的事件处理人员迅速进行分析确定事件类型.
事件处理人员应该能够很熟练地从各种不同来源和相关数据中寻找可能的迹象来确定恶意软件相关事件.
迹象的主要来源可以分为如下几个大类:a)用户.
用户经常向服务咨询部和其他技术支持人员报告恶意软件相关迹象.
例如,用户可能发现他们工作站出现防病毒警告,可能出现启动失败,或者发现异常行为.
用户可能是导致感染的原因,可能在进行了一些不应该的操作后呼叫服务咨询部;b)IT工作人员.
系统、网络和安全管理人员以及其他IT工作人员通常熟悉正常的活动,他们对偏离预期的异常活动比较敏感;c)安全工具.
一些安全工具(例如防病毒软件和IPS),可能会记录详细的恶意软件迹象.
其他工具,如网络监控软件可能会报告偏离预期的行为,但并不会明确标记为与恶意软件相关.
这些由安全工具产生的警告结合其他监控信息才能在检测恶意软件时有所帮助.

恶意软件的特点太过繁多,制定一个全面的列表是不可行的.
针对各类型的恶意软件和攻击工具,表2列出了恶意软件事件最有可能的迹象.
这个表可以帮助迅速确定恶意软件并对其归类.
得到管理员权限的恶意软件事件的迹象并没有在表2中列出.
因为如果恶意软件可以得到系统的管理员权限,它可以在该系统中执行任意命令,而对该类事件的迹象几乎是数不胜数.

表2可能的恶意软件迹象迹象恶意软件类型攻击工具类型复合型病毒宏病毒网络服务蠕虫垃圾邮件蠕虫特洛伊木马恶意移动代码后门按键记录Rootkit恶意浏览器插件邮件生成器安全工具反病毒警告间谍软件检测和清除工具警告√√√基于网络的入侵预防警告√√√文件更改时,基于主机的入侵检测警告√√防火墙和路由器日志列表√√可观察到的主机活动系统无法启动√√系统启动时显示错误信息√√系统不稳定,并发生崩溃√√√√√程序启动缓慢,运行缓慢,或者无法运行√√√√√√系统启动项出现未知进程√√√√不寻常和意想不到的端口开放√发送和接受的邮件数量突然增加√√√文字处理软件、电子表格等模板更改√Web浏览器配置更改,如主页更改或新的工具条√√文件删除、崩溃或无法访问√√√√屏幕出现不寻常的条图,如奇怪的消息、图像、重叠或叠加消息框√√√√出现意外的对话框,请求允许做某事√√观察到的网络活动网络使用明显增加√√√√脆弱服务(如打开windows共享、HTTP)的端口扫描和失败的连接尝试√√主机和未知远程系统存在网络连接√7.
2.
2确定恶意软件事件的特点因为没有迹象是绝对可信赖的,甚至防病毒软件都可能错误地将良性活动归为恶意的,事件处理人员需要分析任何可能的恶意软件事件并验证其是否是恶意软件产生的.
分析恶意软件事件的目的是为了帮助事件处理人员确定事件产生的原因以及对该类型恶意软件有一个基本的了解,比如该恶意软件是蠕虫还是特洛伊木马.
如果事件源不能轻易确认,通常假设其是由恶意软件引起并采取对应响应措施,如果随后确定其并非由恶意软件引起可以更改处理措施.

事件处理人员通常是通过研究检测数据来源来确定恶意软件活动.
了解恶意软件活动的特点对确定事件响应行动的先后顺序和制定有效的遏制、消除和恢复工作非常有帮助.
事件处理人员应该提前和安全管理人员合作,以便于确定数据来源,这可以帮助检测恶意软件信息和了解每个数据源的信息类型.
除了典型的数据来源,例如防病毒软件,事件处理人员应该了解并使用辅助的数据源包括如下:a)防火墙和路由器日志文件;b)邮件服务器和基于网络的IPS传感器的日志文件,这些可能记录了邮件头或者名称;c)来自包嗅探器、基于网络的IPS传感器、网络取证分析工具的包捕获文件,这些文件可能包含了恶意软件相关的网络流量记录信息.
一旦事件处理人员检测了数据源,并且确定了恶意软件的几个特性,处理人员应该在防病毒服务提供商的恶意软件数据库中寻找这些特性,并确定具体是哪种恶意软件.
如果该恶意软件已经被发现一段时间,服务提供商可能已经给出了以下相关信息:a)恶意软件分类(例如病毒,蠕虫,特洛伊木马);b)被攻击的服务和端口;c)被利用的漏洞;d)邮件主题,名称,大小,主体内容;e)可能会受影响的操作系统,设备,应用程序等;f)恶意软件如何影响系统(例如漏洞,错误的配置);g)恶意软件如何影响被感染的系统,包括被感染文件的名称和位置、被更改的配置、被安装后门的端口等;h)恶意软件如何传播以及如何遏制;i)如何从系统中清除该恶意软件.
当新的威胁没有出现在恶意软件数据库中时,事件处理人员需要参考其他信息来源以尽快做出响应.
一种选择是使用公开安全邮件列表,在参考这些信息时,事件处理人员应该验证其准确性.
另一种有价值的恶意软件事件相关信息来自其他机构.
与其他面临类似问题的机构建立和保持良好的关系,在处理问题时可以得到有效的帮助.

在不产生额外威胁前提下,事件处理人员也可以在一个被感染的正常系统或者一个恶意软件测试系统中来研究恶意软件的行为.
这种处理方式不仅能有效解决问题,而且还可以用来培训恶意软件事件处理人员.

为了分析系统中的恶意软件,分析人员应该准备一个移动存储设备,其中放置可信工具包.
该工具包应该包括最新的检测工具(例如防病毒软件,间谍软件检测和清除工具)来确定恶意软件、列出当前运行的进程、显示网络连接以及其他功能.
该工具包所在的移动存储设备应该避免被恶意软件更改或感染,事件处理人员使用这些受保护和经过验证的工具就可以更准确地了解恶意软件在系统上的活动.

7.
2.
3事件响应活动先后次序恶意软件事件一旦确认,接着就应该确定事件处理的先后顺序.
某些恶意软件如蠕虫,往往传播速度非常快,可能会在数分钟或数小时内产生重大影响,类似这样的恶意软件应该优先处理.
其他类型的恶意软件例如特洛伊木马往往只影响单一的系统,其处理优先级应该参考该系统提供的服务和数据的价值.
各机构应该建立一套标准来确定各种恶意软件相关情况的事件响应优先级.
该标准应该考虑如下因素:a)恶意软件如何进入系统,以及使用何种传输机制;b)恶意软件类型(例如病毒、蠕虫和特洛伊木马);c)恶意软件在该系统中放置了哪些类型的攻击工具;d)恶意软件感染哪种网络和系统,以及如何感染;e)如果恶意软件事件没有被遏制,在接下来的几分钟、几小时、几天内被感染情况会是怎样的.
7.
3恶意软件的遏制恶意软件的遏制工作由两部分组成:防止恶意软件蔓延和进一步的破坏.
在处理事件的前期,机构务必确定采用何种初始遏制方案.
遏制孤立事件和仅涉及非感染性恶意软件事件的思路比较清晰,可以切断网络、关闭系统.
针对于大范围感染事件,机构应该迅速使用一个能够帮助大部分系统遏止该事件的策略;这样可以减少被感染主机数、减少所产生的损失、以及减少恢复所有数据和服务所需要的时间.

在遏制恶意软件事件时,需要注意的是:阻止恶意软件的蔓延并不一定能防止所有的可能损害.
即使机构已经阻止了它的蔓延,恶意软件还有可能会继续感染或者删除数据和应用程序、操作系统文件.
此外,一部分恶意软件在设计时就有如下功能:当网络连接断开或者使用其他遏制措施时,它会产生额外的破坏.
例如,被感染的系统可能会运行一个进程,使用这个进程周期性地和其他系统保持联系.
如果断开网络,该联系就被破坏,恶意软件可能会覆盖该主机硬盘上所有数据.
因此,处理人员不能因为主机网络连接断开就假设不会产生进一步的危害,大多数情况下,应该尽快采取消除策略防止更多的破坏.

各机构应该有一些策略和程序来帮助制定有关遏制方案,这些策略和程序反映了机构可以接受的风险.
例如,机构内执行关键功能的系统被感染,该系统从网络中断开或者保持连接可能带来的风险更大,机构可能会决定该系统保持连接或者从网络中断开.
遏制策略帮助事件处理人员根据特定情况选择合适的方案.

7.
3.
1用户参与遏制用户参与,特别是在大规模事件中,可以说是遏制措施很有价值的一个部分.
在系统被感染时,用户接受指令完成确定感染类型和实施响应策略,例如呼叫服务咨询部,断开网络连接,关闭系统电源.
这些指令还可以是消除恶意软件指示,如更新防病毒特征、执行系统扫描或者是运行特定的恶意软件清除工具.
尤其是在不受控制的环境或无法使用自动遏制策略的情况下,让用户完成这些工作更是大有帮助.

尽管电子邮件是最有效的沟通方式,在重大事件发生时,邮件服务可能中断,或者用户无法及时得到该邮件.
因此,机构应该有一些候选的信息传输机制,例如在机构内部使用语音信箱、在工作区域粘贴公告、在建筑和办公入口处分发指令.
在登录窗口显示系统信息可能会很有效,但是很多用户几天甚至几周都不会登录,而很多用户也会忽略这样的信息.
机构内相当数量的用户工作地点不固定,例如家庭办公室和小型分支办公室,因此要确保这些用户及时得到信息.
还有一个重要的问题,用户可能需要一些软件例如清除工具、软件更新(如补丁和防病毒特征更新).
各机构要确定并使用多种方法为协助遏制事件的用户提供软件工具和更新.

尽管用户参与会对遏制工作有帮助,各机构不能把用户参与作为遏制恶意软件事件的依赖.
不管遏制向导是如何传递给用户的,总有一些用户没有收到或者认为该向导和他们没有关系.
此外,缺乏对指令的了解,执行过程中出现小的错误都会导致遏制失败.
尽管如此,在涉及到机构内大量系统的恶意软件事件中,用户参与遏制能有效减少事件处理人员和技术支持人员的负担.

7.
3.
2自动检测遏制很多恶意软件事件都可以通过使用自动化技术完成遏制工作,5.
4节中有关预防和检测感染的部分介绍了该技术.
这些技术包括防病毒软件、邮件过滤、入侵预防软件.
因为主机上的防病毒软件能检测和删除感染,通常把它用作自动检测方法来辅助遏制工作.
检测工具经过更新或者重新配置就可以发现或阻止以前不能发现的新的恶意软件.
不幸的是,在重大事件期间无法及时完成该任务.
例如,如果机构网络和系统已经被恶意软件破坏,那么就无法及时将软件更新文件分发给用户,特别是需要迅速更新许多主机时.
尽管可以通过保留部分网络带宽传输软件更新或为自动检测技术创建健壮的分发机制来缓解这些问题,但是一些恶意软件威胁非常严重,它们可以暂时破坏大部分网络通信.
此外,即使更新及时分发给用户,所有的系统也不可能都迅速完成更新.
例如,有些系统的防病毒软件可能没有开启或者没有正确配置.
尤其是在不受控制的环境中,用户对他们的系统有更大的控制权;有些恶意软件会禁止防病毒软件和其他安全控制工具,所以即使在可控制系统中,也不可能自动更新大量系统.

在大范围感染事件中,如果更新防病毒软件不能确定恶意软件类型的,或者更新的特征尚未充分部署,各机构应该准备其他的安全工具遏制恶意软件直到防病毒特征可以有效实现遏制功能.
机构在得到更新的特征之后,应该先谨慎测试,确定其不会带来负面影响后再部署.
在大范围感染情况发生时,仅仅依靠防病毒软件去完成恶意软件事件处理的全部工作量是不现实的.
通过使用深度预防策略来检测和预防,机构可以将工作量分散到各组件.
除了防病毒软件的自动检测机制还有如下机制:a)邮件过滤.
邮件服务器、客户端以及反垃圾邮件软件,可以通过配置实现拒绝接收具有有些特性的邮件或,例如带有恶意的主题、发送者、文本、名称或类型.
然而,恶意软件正在变得更加多样性;例如,病毒可以使用数百种主题,任何一种都可以用在合法邮件中.
有些病毒甚至可以自动生成随机的主题、名、某些已有正常邮件的回复,这可以导致邮件过滤机制失效.
此外,尽管大多数恶意邮件有可疑的文件扩展名(如.
bat,.
cmd,.
exe,.
pif,和.
scr),一些原本非恶意的文件扩展,如.
zip已经被恶意的广泛使用.

b)基于网络的IPS软件.
大多数IPS产品允许针对具体的特征实现预防功能.
如果基于网络的IPS设备是内置的,也就是说它是网络的一部分,并有一个针对恶意软件的特征,那么它应该可以检测出恶意软件并阻止其感染目标.
如果IPS设备没有开启预防功能,在处理严重的恶意软件事件时,应该重新配置或者部署IPS传感器并开启IPS来阻止恶意软件事件的发生.
IPS技术可以阻止流入和流出的数据流以防止感染.
当然,IPS遏制恶意软件的效果取决于确定恶意软件的特征的可靠性和准确性.
一些IPS产品允许管理员根据一些恶意软件的特性自定义特征或者定义一些已存在的特征.
例如,IPS允许管理员指定已知的恶意邮件名或主题,或者制定已知恶意目的端口号.
很多情况下,IPS管理员可以自定义准确的特征,这些特征要比防病毒服务提供商给的特征早几个小时.
此外,因为IPS特征仅影响基于网络的IPS传感器,而一般的防病毒特征却影响所有的工作站和服务器,迅速部署一个新的IPS特征产生的风险通常要小于新的防病毒特征.

c)基于主机的IPS软件.
一些基于主机的IPS产品可以限制某些可执行文件的正常运行.
例如,管理员可以输入不允许执行的文件名.
如果防病毒特征对新的威胁不起作用,可能需要配置基于主机的IPS软件来阻止新的威胁中某些关联文件的执行.

7.
3.
3禁止服务遏制一些恶意软件事件需要更加严厉和潜在破坏性的措施来遏制.
例如,一个恶意事件可能会产生很多网络流量或者应用程序活动(例如邮件或者文件传输),很多应用程序可能会无法使用.
迅速有效地遏制这样一个事件可以通过关闭一些服务,如关闭恶意软件使用的服务、禁止一些网络周边服务、禁止某些服务(如大型的邮件列表).
无论哪种情况,关闭受影响的服务都可能是实现控制感染并防止影响所有服务的最好方法.
该行动通常是在应用层(如关闭服务器上某个服务)实现或网络层(如配置防火墙来自机构IP地址或服务相关端口)实现.
目的是在有效完成遏制的同时尽量减少被禁止的功能.
为了帮助禁用网络服务,机构应该把所使用服务和对应TCP、UDP端口作为列表记录在案.

恶意软件通常会影响邮件服务.
病毒和蠕虫通过邮件蔓延后往往会使邮件服务崩溃.
关闭邮件服务可以迅速遏制通过电子邮件传播的恶意软件,但是,在某些情况下,机构可能会提供一些未知的邮件服务(如文件服务器可能会无意中运行邮件服务器),这些邮件服务也需要关闭.
感染不严重时,关闭部分邮件服务就可以达到有效地遏制,从而不会禁止邮件服务功能.
例如,暂时禁止非管制邮件清单可能会明显减缓恶意软件的蔓延和减轻对邮件服务器的影响.

从技术角度来讲,禁用某个服务通常很简单;但禁用某个服务可能会给机构造成明显的负面影响.
同时,禁止某个服务可能会中断其他依赖此服务的服务.
例如,禁用电子邮件服务可能会影响通过电子邮件复制信息的目录服务.
各机构应该制定一个主要服务的依存关系列表,以便事件处理人员在制定遏制策略时能增强对各服务的了解.
此外,为主要服务提供相似功能的替代服务会很有帮助.
例如,在一个高度集约环境中,如果新的病毒利用了邮件服务客户端的漏洞,用户可能被禁止使用该邮件客户端,但可以使用一个基于网络的邮件客户端作为替代,而这个客户端是没有漏洞可用的,这样做可以在遏制事件的同时为用户提供了邮件功能.
这样的策略也可以用在web浏览器和其他通用的客户端应用程序上.

各机构应该随时应对由于其他机构处理恶意软件事件时禁止了某项服务而产生的问题.
例如,某机构中有一小组暂时在另一机构工作,该机构将邮件服务器配置为自动将该小组的邮件转发到另一机构的邮件服务器,那么如果另一机构禁用了邮件服务,转发的邮件可能会被反弹回去,然后再次被转发,又被弹回,从而产生了一个循环.
这样的事件发生时,一些用户可能会产生明显的影响.

7.
3.
4禁用网络连接遏制临时限制网络连接可以有效遏制恶意软件事件.
例如,当被感染系统企图和任意一个外部系统连接并下载rootkit时,事件处理人员可以阻止所有IP地址为外部的连接.
同样,当被感染系统企图传播恶意软件时,机构应该禁止所有来自该系统IP地址的连接,从而控制事件的恶化.
一个替代的方法是将该系统从网路中断开,重新配置网络设备拒绝网络接入、断开网线或断开感染系统的无线网卡.

最具争议的遏制步骤是强行断开未受感染系统的网络.
这将造成远程拨号用户和VPN用户等无法接入网络.
在最坏的情况下,将子网或者整个机构的网络从互联网中断开可以阻止事件蔓延,停止损害,消除漏洞.
当恶意软件已经造成大部分网络崩溃或对其他机构产生攻击时,断开网络连接来完成遏制对大多数机构来说都是可以接受的.
因为大部分网络崩溃时,机构的许多功能都会受到影响,通常需要尽快修复.

各机构可以自行设计和部署网络,使通过断开网络遏制事件更容易进行,并且造成的损失更小.
例如,有些机构将其服务器和工作站放置在隔离的子网中;在恶意软件事件发生时,可以隔离受感染的工作站子网,服务器子网则能继续对外部和对没有感染的内部子网提供服务.
另一种策略是使用隔离的虚拟局域网(VLAN),在这种策略中,当主机想连接网络时,首先要检查其安全态势.
通常可以在每个主机上安装一个代理来监控主机的各种特性,如操作系统补丁和防病毒更新等.
当主机尝试连接到网络时,路由器等网络设备首先询问主机上代理软件的一些信息.
如果主机没有响应该请求或者响应表明该主机是不安全的,那么网络设备将会把该主机放置在一个隔离的VLAN中.
同样的技术可以用于常规网络中的主机,这样可以把受感染主机自动放置到隔离VLAN.

为受感染主机准备一个隔离的VLAN能给机构内受严重限制的主机提供防病毒特征更新和操作系统、应用程序补丁.
如果没有隔离的VLAN,机构可能需要将受感染主机完全从网络中隔离开,这样机构必须手工给每个主机传送并安装更新来遏制、消除恶意软件和修复漏洞.
使用许多隔离的VLAN在某些情况下非常有效,如将所有在同一网段的主机放在一个VLAN中,在清理和打过补丁之后,将其放回原网络.
使用VLAN的一个缺点是受感染的主机仍然在该网络中,只是逻辑上分离而已.
这样恶意软件产生的活动、系统的更新升级会在VLAN中产生大量流量,从而可能导致网路中所有用户无法进行正常操作.

7.
3.
5遏制策略的建议使用单一的遏制策略在事件处理中并不合适,效果也不明显,事件处理人员应该选择一个组合方法,不但能减少对系统破坏,而且可以减少对其他系统造成的影响.
例如,关闭所有网络连接可能会产生很好的遏制效果,但是它可能造成系统中感染继续破坏文件,并且会破坏许多重要功能.

最具争议的遏制方法只能在很短一段时间内使用.
因此,各机构应该制定一个健全的遏制方案,明确谁有权制定重大遏制策略,以及在何种环境下采用哪种合适的行动(例如断开网络).
7.
3.
6辨识受感染主机辨识受感染的主机是处理恶意软件事件的一部分,尤其是处理大范围恶意事件.
一旦确定受感染主机应该马上进行合适的遏制,消除和恢复活动.
不幸的是确定受感染主机通常非常复杂.
例如,关闭系统、断开网络或者移动主机使得识别受感染主机非常困难.
此外,一些主机可以启动多个操作系统或者使用虚拟机软件;一个操作系统实例被感染时,如果目前正在使用另一个操作系统,那么也无法识别出来.

其他因素也可能会影响准确辨识被感染主机.
例如,系统存在没有修复的漏洞时,可能会先修复再感染,并且重复多次.
一些恶意软件实例实际上删除了一些或所有其他恶意软件的痕迹,这将导致部分或全部被清除的感染没有被检测到.
因为数量太多,识别大规模感染事件中涉及的所有主机通常很有挑战.
此外,受感染主机的相关数据可能来自多个来源—防病毒软件、入侵检测系统、用户报告和其他方法,造成识别困难.

在大规模恶意软件事件发生前,机构应该仔细考虑主机识别事件,以便于准备好使用多种识别策略来制定有效遏制方案.
机构应该明确需要哪种识别信息,哪种信息源会记录这些信息.
例如,主机远程活动通常需要当前IP地址;当然,主机的本地活动需要其物理位置.
一条信息通常可以确定其他信息,例如把一个IP地址映射到一个媒体接入控制(MAC)地址,随后被映射到服务某个特定办公群体的交换机上.
如果一个IP地址可以映射到系统所有者或使用者,通过记录网络登陆时的映射,可以得到所有者或者使用者的主机位置.

确定被感染主机的物理位置难度取决于如下几个因素.
在一个可控制环境中,确定主机位置是比较容易的,因为各主机位置按照标准方式配置.
例如,系统名称可能包含了用户ID、工号或者系统序列号(可以和用户ID绑定).
此外,资产库存管理工具可能包含了当前主机的信息.
在其他环境中,特别是当用户可以完全控制其系统,并且网络没有集中管理时,很难确定主机位置.
例如,管理员发现地址为某个IP的系统被感染,但却无法确定哪个主机使用该地址.
管理员有时候需要借助网络设备来追踪被感染系统.
例如,交换机端口映射器可以追踪特定的IP地址以及对应的主机.
如果被感染系统距离该交换机还要中转几次,那么可能数个小时才能追踪到该主机;如果被感染系统没有直接被交换机连接,管理员可能仍然需要借助各种布线和网络设备来手动追踪.
另一种选择是,确定可疑的被感染主机时,将其网线拔掉,或者关闭对应的交换机端口,然后等待该用户报告断网.
这个方法可能会无意中导致部分未感染用户的网络断开,但是如果小心操作,可以作为最后的遏制手段,该方法效率非常高.

一些机构会首先确定被感染主机,随后采取遏制,消除和恢复策略,接着针对网络中不能确定是否感染和合理保护的主机,采取一定措施来预防.
这些策略应该提前就商定好,在某些情况下,事件处理人员可以提前书面许可锁定某些主机.
通常,锁定策略要针对特定的主机,如网卡地址或者静态IP地址,但是如果系统只有一个用户,锁定也可以基于用户ID.
还有一种方法是使用网络登录脚本来确定和拒绝被感染主机的进入,但如果被感染系统在用户身份验证之前就开始传播,这种方法就会失效.
尽管锁定机制只在一些极端的情况才使用,机构应该提前考虑如何在需要时,锁定主机或者用户,而且锁定应该能够迅速执行.

7.
3.
6.
1司法鉴定司法鉴定就是寻找近期系统被感染的证据.
这些证据可以是最新的(几分钟内)或不是特别新的(数小时或数天).
最常见的证据来源正是那些旨在查杀恶意软件的工具,如防病毒软件、间谍软件检测和清除工具、内容过滤器(如反垃圾邮件措施)、基于主机的入侵预防软件.
安全应用程序的日志中可能包含了可疑活动的详细记录,并且可能会表明安全事件是否被阻止了.
如果企业部署了安全应用程序,各个主机和集中的应用程序中的日志都可以作为证据.

某些情况下,常见信息源给出的证据中可能没有包含需要的信息,这时候机构还需要转向其他信息源,例如:a)网络设备日志.
防火墙,路由器和其他过滤设备,它们记录了网络连接活动;还有网络监控工具也可以帮助确定恶意软件相关网络连接活动(例如,特定的端口号的组合,不寻常的协议);b)SinkholeRouters.
Sinkholerouter是记录机构内部接收所有路由未知流量的路由器(如目的子网IP没有使用).
恶意软件传播时会产生这样的流量;因此,sinkholerouter中观察到的异常流量可能表明有新的恶意软件威胁.
部署sinkholerouter来监控路由未知的网路流量,能有效确定机构内企图感染其他系统的受感染系统.
通常会配置sinkholerouter,把所检测到的流量情况发送到日志服务器或入侵检测系统中;有时候包嗅探器也用来记录可疑活动;c)应用程序服务器日志.
应用程序通常被恶意软件用作传输机制,如邮件和HTTP,可能记录了一些信息,从这些信息可以看出哪些主机被感染了.
在端到端的传输过程中,一个单一的邮件可能会出现在多个记录中:发送人的系统,每个处理该信息的邮件服务器,收件人的系统,以及反病毒,反垃圾邮件和内容过滤服务器.
同样地,运行web浏览器的主机可以提供丰富的资源,这些资源包括了恶意网络活动,例如最喜爱的网站名单,历史访问记录及其数据和时间,web数据文件缓存和cookies(包括创建和过期时间).
还有一个很有用的信息资源是DNS服务器日志,它可能记录了企图连接外部恶意IP地址的被感染主机,这些主机可能尝试传输数据或者进行其他方式的交互;d)网络取证工具.
一些可以捕获和记录数据包的软件程序,如网络取证分析工具和数据包嗅探器,可能会详细记录恶意软件相关活动.
然而,这些工具记录了几乎所有的网络活动,提取需要的信息需要相当多时间.
通常可以使用一些更加有效的手段来确定被感染主机.

使用鉴定资料来确定被感染主机比其他方法更有优势,因为数据已经收集到了,具体需要的数据只需要从总的数据集中提取出来即可.
不幸的是,从某些数据源中提取数据可能更会需要大量时间.
同样,事件信息会很快过时,导致没有受感染的主机采取了不必要的遏制策略,而被感染主机却避免了实施遏制策略.
如果存在一个准确、全面、合理的数据源,那么它可以提供最有效的方法来确定被感染主机.

7.
3.
6.
2主动辨识措施主动辨识用来识别当前被感染的系统.
一旦找到被感染系统,可以立即采取一些积极措施来遏制和消除措施来消除该系统的感染;比如运行一个没有被感染的清除工具,安装补丁或杀毒软件更新,或者把该系统放置到VLAN中.
主动辨识可以通过多种方法实现,包括如下:a)本地脚本.
通常网络登陆脚本稍作修改就可以识别一些恶意软件特征.
通过登陆脚本识别主机的缺点在于受感染主机不会马上离开网络而且有可能会重新接入网络,可能会持续到感染后数天,数个星期,甚至数个月;b)自定义基于网络的IPS或者IDS特征.
制定一个自定义的IPS或者IDS特征,可以有效检测被感染主机.
一些机构部署了独立的IPS或IDS传感器,这些传感器具有灵活的自定义特征功能,可以用来辨识特定的恶意软件.
这就提供了一个高质量的信息源,并且其他传感器不会因为过多的恶意软件警告信息造成超负荷;c)包嗅探器.
配置包嗅探器使其寻找特定恶意软件威胁对应的数据包可以有效辨识被感染主机.
如果大多数或者所有网络流量都经过同一个网络设备,使用包嗅探器可以有效辨识感染;d)漏洞评估软件.
很多用来辨识主机漏洞的软件也可以检测一些已知的恶意软件威胁.
然而,漏洞评估软件不能识别出被新的威胁感染的主机.
同样,如果主机上安装了基于主机的防火墙,很多漏洞评估软件可能也无法识别出漏洞;e)主机扫描器.
如果某个恶意软件威胁在被感染主机中安装后门,这些后门程序在运行时会使用某个特定端口,这样,使用主机扫描器就可以有效辨识被感染主机;f)其他扫描器.
除了主机扫描器外,还可以使用其他类型的扫描器来帮助辨识具有某些特征的主机;例如,一些特殊的配置或者大小特定的系统文件都可能暗示主机被感染.
因为每一种方法只能帮助辨识主机中具有某些特征的感染,因此最好使用多种方法相结合的策略.
例如,主机扫描器可能无法辨识出使用个人防火墙的主机中的感染,因为防火墙阻止了该扫描器的运行,但是包嗅探器和登陆脚本可能能够辨识出来这些感染.
虽然多种方法相结合的策略会产生高精确的效果,但是主动辨识需要反复使用,因为感染会频繁改变,而收集的数据隔一段时间就需要更新.

7.
3.
6.
3手动辨识手动识别是最为费力但又不可或缺的方法.
当大量感染相关流量导致网络崩溃时,主动辨识策略很难实施.
当恶意软件网络流量使用伪造地址,并产生大量活动时,取证方法可能失去效果,因为在大量的通信数据中,有效路径可能会丢失.
在这样的情况下,手动辨识策略可能会是最好的选择.

还有一些技术也可以实现手动辨识.
其中一种是向用户提供恶意软件相关信息以及感染的标志、防病毒软件、操作系统或应用程序补丁、扫描工具,让他们自己判断是否被感染.
还有一个类似的手动技术,本地技术人员(包括通常不参与处理恶意软件事件的人)检测所有的系统或者疑似被感染的系统.
某些情况下,非技术人员也可以代替技术人员在远程办公室完成检测任务.
对任何可能会帮助处理恶意软件事件的工作人员,应该提前安排好任务,并提供相应文档和周期性培训.

7.
3.
6.
4对辨识工作的建议尽管主动辨识能得到最准确的结果,但却不是最快的方法.
扫描机构内所有主机可能会耗费相当多的时间,同时因为断开或者被关闭的系统无法扫描.
当感染在全机构范围内时,手动方法通常不可行,但在其他方法不能用时,它仍是辨识工作不可缺少的一部分.

各机构应该根据他们的环境提前考虑可行的方法,并根据情况选择足够多的有效方法,为每一种方法制定流程和技术指标.
各机构还应该确定哪些个人和群体能够帮助辨识感染.
例如,安全管理人员(防病毒软件、IPS、防火墙、漏洞评估、扫描器),系统管理员(DNS、邮件和Web服务器),网络管理员(包嗅探器、路由器),桌面管理员(windows注册表或文件扫描、登陆脚本的变化)等都可以协助完成辨识工作.
各机构要保证所有可能参与辨识工作的人员都了解自己的角色并且知道如何执行必要的任务.

7.
4恶意软件的消除在对安全事件进行原因分析之后,事件处理人员将进一步对安全事件进行处理,具体工作包括:a)清理系统中存在木马、病毒、恶意代码程序;b)清理WEB站点中存在的木马、暗链、挂马页面;c)恢复被黑客篡改的系统配置,删除黑客创建的后门账号;d)删除异常系统服务、清理异常进程;尽管消除策略的主要任务是清除被感染系统内恶意软件,但消除工作包括的内容远超过这些.
如果感染是由于系统漏洞或者其他安全缺陷引起的,比如不安全的文件共享,那么消除工作还包括修复系统缺陷,这样才能防止系统再次感染.
如果感染事件是通过切断被感染系统网络遏制的,那么该系统可能需要接入隔离的VLAN更新或者手动安装补丁并重新配置.
如果被感染系统企图破坏其他系统或者产生大量流量,那么应该将其隔离并手动处理.

在一些恶意软件事件中,可能需要重建被感染主机完成消除工作.
重建包括重新安装和保护操作系统、应用程序,从已知安全备份中恢复数据.
例如有些类型的间谍软件难以清除;或者即使清除掉了,各主机操作系统却遭破坏以至于系统无法启动.
当被感染系统执行未知操作时,那么重建通常是最好的选择.
如果主机遭受多种感染;感染时间超过一定时间、被安装后门、rootkits或其他破坏性攻击工具,会有其他恶意操作在主机中执行.
在这些情况下,重建系统将会是恢复主机完整性的最可靠方法.

消除工作需要处理的系统和重大事件的发生可能会有额外的感染或者会在数天,数周,数月内发生重复感染.
事件处理人员需要周期性地进行辨识工作,以继续寻找被感染的系统,并确保消除工作的成功实施.

很多rootkits对系统及其文件做了很多改变,通常需要花费大量时间和资源才能完全清除rootkits.
对感染rootkits或者极有可能感染rootkits的系统,机构应该通过重新安装和配置操作系统及应用程序来完成重建.
如果发现如下事件特性,机构应该重建系统而非执行典型的消除措施:a)一个或多个攻击者得到系统管理员级别访问权限;b)任何人都可以通过一个后门得到非授权管理员级别访问权限,利用蠕虫或其他方式创建不安全共享;c)系统文件被特洛伊木马、后门、rootkit、攻击工具等代替;d)使用防病毒软件,间谍软件检测和清除工具完成清除工作后,系统不稳定或者运行出现异常.
这意味着恶意软件没有完全清除,或者恶意软件已对重要系统或应用程序造成破坏.
如果恶意软件事件没有上述特性,那么就可以采取消除策略而非重建系统.
当系统遭破坏或者非授权访问权限不明确时,机构应该考虑重建该系统.
7.
5系统恢复恶意软件事件恢复工作包括两部分:恢复被感染系统功能和数据,清除暂时遏制措施.
大多数恶意软件对系统破坏有限(如某个恶意软件只是改变了部分数据文件,可以完全被防病毒软件清除),就不需要额外的恢复措施.
对于破坏性更强的恶意软件如特洛伊木马、rootkit、或后门,会破坏多个系统数据文件或删除硬件驱动,那么处理这些事件时最好先重建系统或从一个完好的备份中恢复系统,随后采取一些安全措施以保证系统不会再次感染.
机构应该仔细考虑可能遇到的最坏情况,如一个新的恶意软件删除了机构工作站的大量硬件驱动,需要考虑这些情况下如何恢复系统.
需要考虑的工作有:确定谁执行恢复工作,估计所要花费的时间,决定恢复活动的先后顺序.

在重大事件发生时,通常很难决定何时去掉暂时的遏制措施,比如暂停某些服务(例如邮件等)或连接网络.
例如为了阻止恶意软件感染的蔓延,暂时关闭邮件服务,为存在漏洞的系统安装补丁,并对被感染系统实施针对恶意软件的遏制,消除和恢复措施.
确定被感染系统,并为其安装补丁和完成清除工作可能需要花费数天或数个礼拜,但是邮件服务不可能这么长时间都保持关闭.
当邮件服务恢复后,被感染系统极有可能还会传播感染.
然而,如果所有的系统都打过补丁并清除了恶意软件,新的感染几乎不会发生.
事件响应小组应该继续保持遏制措施直到没有打补丁或被感染系统的数目降到很低以至于后续事件影响很小.
事件处理人员还应该考虑其他遏制措施,能否在得到相同遏制效果的同时又可以减少机构正常运行造成较小影响.
然而,尽管事件响应小组要评估恢复服务的风险,但最终的决定权还是在管理部门,根据事件响应小组的建议和采取遏制策略产生的商业影响,管理部门最终决定是否恢复服务.

7.
6经验总结事件处理完毕后,从网络流量、系统日志、WEB日志记录、应用日志、数据库日志,结合安全产品数据,分析黑客入侵手法,调查造成安全事件的原因,确定安全事件的威胁和破坏的严重程度.
根据整个事件的情况撰写《恶意软件事件应急响应报告》,文档中应阐述整个安全事件的现象、处理过程,处理结果、事件原因分析,并给出相应的安全建议.
最后根据事件的处理过程总结经验教训,在恶意事件中可能汲取到的经验教训包括如下:a)改变安全策略.
可以通过改变安全策略来预防类似事件发生.
例如,以.
src结尾的邮件被用来传播感染,那么通过更改安全策略阻止这类邮件文件就可以预防感染;b)改变安全认知.
针对用户的安全认知培训应该更改,以减少感染的人数,使用户能够积极报告事件和协助处理事件;c)配置软件.
操作系统或应用程序设置需要更改,以支持改变的安全策略或与已有安全策略相协调;d)部署恶意软件检测软件.
如果系统通过一个没有被防病毒软件或其他恶意软件检测工具保护的传输机制感染,该事件可以为购买和部署额外的软件提供足够充分的理由;e)重新配置恶意软件检测软件.
检测软件可能需要按照不同方式重新配置.
例如:-增加软件和特征的更新速度.
-改进检测的准确性(如更少的误报和漏报).
-增加监控的范围(如监控额外的传输机制监控额外的文件和系统文件).
-根据检测到的恶意软件改变自动执行活动.
附录A遏制技术总结(资料性附录)本标准中讨论了各种可以帮组有效遏制恶意软件事件的技术.
尽管大部分技术也可以帮助预防、检测和消除恶意软件事件,本节侧重遏制,因为这是恶意软件事件处理时最复杂的一个环节.
本附录总结了各种能有效遏制恶意软件事件的技术,并给读者提供了一些可以识别恶意软件的工具,这些工具在某些情况下可以作为制定有效遏制策略的基础.

在制定恶意软件事件策略时,机构应该考虑所有能用来遏制恶意软件的技术.
A-1列出了大部分常用技术,同时提供了每种技术在应对不同类型恶意软件和攻击工具时的效率.
为了便于描述,该表将各种环境分为两大类(可控制和不可控制),将各种威胁分为两大类(简单和复杂).
如下是每个分类代表的含义.

a)可控制环境.
在可控制环境中,一个或多个关键群体可以控制整个机构内的服务器和工作站操作系统以及应用程序配置.
这使得在最初部署系统和提供支持、维护时,能够有效实施安全措施,并且使得企业内部能够保持一个持续的安全态势.
本节中提供的向导假设在可控制环境中,大部分系统都执行了预防和处理恶意软件事件的建议措施(例如,所有主机都安装了防病毒软件,并且保持更新;防火墙使用默认拒绝策略;安装操作系统和应用程序补丁).

b)不可控制环境.
在不可控制环境中,系统所有者和用户只能控制各自的系统,通常使用的是管理员权限.
尽管系统最初可能使用企业的标准配置,但系统所有者和用户可以更改该配置,这将减弱其安全性.
本节提供的向导假设在不可控制环境中,为预防和处理恶意软件事件,一些系统执行了推荐的措施,而大部分系统都执行了一部分推荐措施.

c)简单威胁.
简单威胁只拥有几个简单的特征.
例如,某个大规模邮件蠕虫病毒只是使用固定的主题并且名只有三个固定的名称,那么这个蠕虫就是一个简单的威胁.
如果一个后门只使用一个固定端口号并且只和固定IP地址通信,这个后门也算是一个简单威胁.

d)复杂威胁.
和简单威胁不同,复杂威胁可能有成百上千种特征;有些复杂的威胁甚至会随即产生一些特征.
例如,某大规模邮件蠕虫使用50个主题和50个文件名,并随机产生发送者地址,邮件内容和大小.
还有一个例子是恶意移动代码,该代码从一个巨大的列表中选择IP地址并下载其负载.
比起简单威胁,复杂威胁通常更难遏制.
表A-1提供的是在可控制环境中处理简单威胁的向导.

表A-1预防和遏制技术的典型效率技术简单威胁,可控制环境不可控制环境下的显著差异复杂威胁的显著差异安全工具基于网络的防病毒软件能够非常有效地阻止所有企图通过网络监控点(例如网络防火墙)的已知类型恶意软件;能有效机构一些未知恶意软件无无基于主机的防病毒软件能非常有效地阻止企图感染主机的已知类型恶意软件(例如,工作站、服务器);能有效机构一些未知类型恶意软件效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件无间谍软件检测和清除工具(通常基于主机)能非常有效地阻止企图感染主机(例如,工作站、服务器)的已知类型间谍软件;能有效阻止一些未知类型间谍软件效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件无基于网络的入侵预防系统能有效阻止大部分企图通过网络监控点(例如网络防火墙)的已知类型蠕虫;某些情况下,可以有效阻止未知蠕虫.
有时能有效识别和阻止使用后门无通常效率很低,因为检测准确率很低如果威胁具有随机特征性,那通常是无法检测出来的基于主机的入侵预防系统有时能有效阻止企图攻击主机的已知和未知恶意软件(例如,工作站,服务器)能有效检测出企图更改关键系统文件的恶意软件效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件;同样,如果软件没有配置有效,也会降低检测的准确性通常效率很低,因为检测准确率很低基于网络的垃圾邮件过滤能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件无通常效率较低,因为检测准确率很低如果威胁具有随机特征性,那通常是无法检测出来的基于主机的垃圾邮件过滤能够非常有效地阻止利用机构邮件服务的基于邮件的已知恶意软件效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件通常效率较低,因为检测准确率很低如果威胁具有随机特征性,那通常是无法检测出来的基于网络的web内容过滤能有效阻止基于web的已知恶意软件无通常效率较低,因为检测准确率很低基于主机的web内容过滤能有效阻止基于web的已知恶意软件效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件通常效率较低,因为检测准确率很低网络配置更改基于网络的防火墙一些基于网络的蠕虫可能会使用防火墙策略不允许的网络服务,该防火墙可以阻止这类蠕虫进入或离开网络如果外部服务和主机被恶意软件用作传输机制,该防火墙可以有效机构对这些服务和主机的访问能有效预防非授权主机产生的邮件(例如,被大规模邮件蠕虫感染的工作站)离开机构的网络能有效阻止主机访问恶意软件产生的攻击者IP地址,同时阻止攻击者IP地址对该网络的访问无如果需要阻止的攻击者IP地址太多,效率可能会受影响基于主机的防火墙能非常有效地预防网络服务蠕虫感染主机(例如,工作站,服务器)能有效预防被感染主机产生的边界活动离开主机(例如,后门,按键记录器,web浏览器活动,邮件生成器)效率不高,因为一些主机可能使用了过期的、配置错误、或功能被禁止的防病毒软件,或者没有该安装防病毒软件无互联网边界路由器该路由器安全策略可以设置禁止使用某些网络服务,因此可以有效预防使用这些网络服务的基于网络蠕虫进入机构网络能有效阻止主机访问恶意软件(例如,后门,恶意移动代码,按键记录器,恶意浏览器插件)产生的攻击者IP地址,同时阻止攻击者IP地址对该网络的访问无如果需要阻止的攻击者IP地址太多,效率可能会受影响内部路由器该路由器安全策略可以设置禁止使用某些网络服务,因此可以有效预防使用这些网络服务的基于网络蠕虫进入机构网络能有效阻止主机访问恶意软件(例如,后门,恶意移动代码,按键记录器,恶意浏览器插件)产生的攻击者IP地址,同时阻止攻击者IP地址对该网络的访问能有效阻止被感染主机产生的邮件发送活动无如果需要阻止的攻击者IP地址太多,效率可能会受影响主机配置更改主机加固(包括安装补丁)能有效阻止利用主机漏洞或不安全设置的恶意软件产生的额外感染效率低下,因为很多主机没有打补丁或没有适当加固无邮件服务器设置(例如阻止邮件)能有效阻止基于邮件的恶意软件使用机构的邮件服务无通常有效低,因为检测准确率低如果威胁具有随机性特征,通常无法检测机构服务器上其他服务的设置有时可以有效阻止网络服务蠕虫无通常有效低,因为检测准确率低如果威胁具有随机性特征,通常无法检测应用程序客户端设置(例如,限制邮件客户端和web浏览器中的移动代码执行)能有效阻止特定的恶意软件效率有限,因为用户需要完成某些设置(例如,手动更改设置,运行分发的工具或脚本)无表A-2和A-3总结了表A-1的信息,指出了可控制环境中,每种技术针对简单(表A-2)和复杂(表A-3)威胁的效率.
这些表提供每种技术处理每类恶意软件的单独的评价.
评价如下:H表示高效率;M表示效率一般;L表示低效率.
通常,效率一般或者效率低表明该技术在某些情况下效率很好而对其他情况则效率很低或根本不起作用.
空白格表示该技术不适合处理该类威胁.
表A-4和A-5给出了不可控制环境下每种技术针对简单(表A-4)和复杂(表A-5)威胁的评价.

表A-2可控制环境下针对简单威胁的效率技术恶意软件类型攻击类型复合型病毒宏病毒网络服务蠕虫大规模邮件蠕虫木马恶意移动代码后门按键记录器Rootkit恶意浏览器插件邮件生成器安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件HHHHHHHHHHH间谍软件检测和清除工具HHH基于网络的入侵预防系统MML基于主机的入侵预防系统LMLLLMLL基于网络的垃圾邮件过滤系统HLMH基于主机的垃圾邮件过滤系统HLMH基于网络的web内容过滤系统LMM基于主机的web内容过滤系统LMM网络配置更改基于网络的防火墙HMMMMMM基于主机的防火墙HMMMMM互联网边界路由器HMMMM内部路由器HMMMML主机配置更改主机加固(包括安装补丁)LLMMMM邮件服务器设置(例如,机构邮件)LLHMMH设置机构服务器提供的其他服务L-M应用程序客户端设置(例如,限制邮件客户端或web浏览器执行恶意代码,限制在word处理器中使用宏)MMMM表A-3可控制环境下针对复杂威胁的效率技术恶意软件类型攻击类型复合型病毒宏病毒网络服务蠕虫大规模邮件蠕虫木马恶意移动代码后门按键记录器Rootkit恶意浏览器插件邮件生成器安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件HHHHHHHHHHH间谍软件检测和清除工具HHH基于网络的入侵预防系统LLL基于主机的入侵预防系统LLLLLLLL基于网络的垃圾邮件过滤系统L-MLLL-M基于主机的垃圾邮件过滤系统L-MLLL-M基于网络的web内容过滤系统LLL基于主机的web内容过滤系统LLL网络配置更改基于网络的防火墙HMML-ML-ML-ML-M基于主机的防火墙HMMMMM互联网边界路由器HML-ML-ML-M内部路由器HML-ML-ML-ML主机配置更改主机加固(包括安装补丁)LLMMMM邮件服务器设置(例如,机构邮件)LLL-MLLL-M设置机构服务器提供的其他服务L-M应用程序客户端设置(例如,限制邮件客户端或web浏览器执行恶意代码,限制在word处理器中使用宏)MMMM表A-4不可控制环境下针对简单威胁的效率技术恶意软件类型攻击类型复合型病毒宏病毒网络服务蠕虫大规模邮件蠕虫木马恶意移动代码后门按键记录器Rootkit恶意浏览器插件邮件生成器安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件MMMMMMMMMMM间谍软件检测和清除工具MMM基于网络的入侵预防系统MML基于主机的入侵预防系统LLLLLLLL基于网络的垃圾邮件过滤系统HLMH基于主机的垃圾邮件过滤系统MLMM基于网络的web内容过滤系统LMM基于主机的web内容过滤系统LMM网络配置更改基于网络的防火墙HMMMMMM基于主机的防火墙MMMMMM互联网边界路由器HMMMM内部路由器HMMMML主机配置更改主机加固(包括安装补丁)LLL-ML-ML-ML-M邮件服务器设置(例如,机构邮件)LLHMMH设置机构服务器提供的其他服务L-M应用程序客户端设置(例如,限制邮件客户端或web浏览器执行恶意代码,限制在word处理器中使用宏)LLLL表A-5不可控制环境下针对复杂威胁的效率技术恶意软件类型攻击类型复合型病毒宏病毒网络服务蠕虫大规模邮件蠕虫木马恶意移动代码后门按键记录器Rootkit恶意浏览器插件邮件生成器安全工具基于网络的防病毒软件HHHHHHHHHHH基于主机的防病毒软件MMMMMMMMMMM间谍软件检测和清除工具MM基于网络的入侵预防系统LLL基于主机的入侵预防系统LLLLLLLL基于网络的垃圾邮件过滤系统L-MLLL-M基于主机的垃圾邮件过滤系统L-MLLL-M基于网络的web内容过滤系统LLL基于主机的web内容过滤系统LLL网络配置更改基于网络的防火墙HMML-ML-ML-ML-M基于主机的防火墙MMMMMM互联网边界路由器HML-ML-ML-M内部路由器HML-ML-ML-ML主机配置更改主机加固(包括安装补丁)LLL-ML-ML-ML-M邮件服务器设置(例如,机构邮件)LLL-MLLL-M设置机构服务器提供的其他服务L-M应用程序客户端设置(例如,限制邮件客户端或web浏览器执行恶意代码,限制在word处理器中使用宏)LLLL当机构制定遏制恶意软件事件策略时,应该考虑开发一些工具,在重大事件发生时,协助处理人员迅速选择和实施遏制策略.
例如,假设一个新的网络服务蠕虫攻击机构,而且它看起来是利用机构内基于主机防火墙软件的一个漏洞.
机构对该主机的操作系统和应用程序具有很大程度的控制权,因此机构的遏制策略应该参考表A-2.
在大多数情况下,一个可行的策略是首先联系所有高效技术管理员,这些技术包括如下:a)基于网络和主机的防病毒软件检测和阻止蠕虫识别和清理受感染的系统b)基于主机防火墙防止蠕虫进入或者退出系统为防止蠕虫利用重新配置基于主机防火墙软件更新基于主机防火墙软件这样就可不被利用c)网络防火墙检测和拦截蠕虫进入或者退出网络和子网d)互联网边界和内网路由器e)如果网络流量对网络防火墙而言太多而不能处理时或者某个子网需要更多保护时,就需检测和拦截蠕虫进入或退出网络按照事件处理人员的判断,他们还可能会联系其他技术管理人员,例如基于网络和主机的入侵预防系统,以决定他们是否可以配置系统来阻止蠕虫.
在不可控制环境中,基于主机的防火墙一般不会集中控制.
同样地,事件处理人员不能依靠基于主机防火墙的更新、重配置或其他更改来协助遏制事件.
因此,事件处理人员需要依靠基于网络的控制来完成遏制,例如网络防火墙和路由器,而不能在主机层来完成事件处理工作.

附录B恶意软件事件处理场景(资料性附录)关于恶意软件事件处理场景的实践是提高恶意软件事件应急处理能力和发现潜在问题的一个廉价而又有效的方式.
在这些实践中,恶意软件事件响应小组的成员将会了解恶意软件事件的基本情况,并面对一些相关的问题.
小组将会讨论出现的情况并讨论出最理想的解决方案.
这样做的目的是确定处理人员在现实中遇到同样的问题会如何做,并且与推荐的策略相比较,以查明是否有缺点和不足.
例如,在实践中可能会发现,所应用的应急处理措施可能会被延时,原因是缺少所需要的某种软件或者另一个工作小组不提供某一时段的服务.

B.
1部分所列出的问题几乎适用于所有事件处理情况.
这些问题后面跟着几种具体情况,每种情况后面有引出一些附加的相对应的问题.
强烈建议机构在应急处理实践中考虑这些问题.
B.
1场景所对应问题准备/预防:a)为了防止这种情况的发生和减小它的影响,采取了什么措施检测和分析:a)这种恶意事件有哪些前兆呢如果有的话,组织能检测到吗哪种前兆将促使机构采取预防措施b)机构能检测到哪种前兆哪种前兆将导致人们认为恶意软件事件可能已经发生了c)应急处理小组怎么样分析和验证这类事件d)组织应该把这类事件向谁汇报呢e)事件响应小组如何确立处理这类事件的优先顺序遏制,清除和恢复:a)处理小组采取什么样的策略来遏制这类事件这种策略比其他策略好在哪里b)如果这类事件不进行遏制将出现什么情况事后的工作:a)谁将要参加这次的事件的经验教训会议b)为防止此类事件将来再发生应该做什么c)为提高检测此类事件的能力应该做什么一般性问题:a)有多少事件响应小组成员将参与处理此事件b)除了事件响应小组外,在机构内还有什么团体或者个人将参与处理此事件c)小组将把事件报告给哪一外部参与方每份报告什么时候出每份报告将怎么做d)与外部参与方有什么其他的通讯联系发生e)在处理此事件时小组使用什么工具和资源f)事件发生在不同日期和时间,处理的什么方面不同g)如果事件发生在不同物理地点,处理的什么方面不同B.
2案例案例1:蠕虫和DDoS代理入侵在一个星期二早晨,一种新蠕虫被公布在互联网上.
蠕虫利用的两周前公开发布的MicrosoftWindows漏洞,在那个时候补丁已经发布.
蠕虫通过两种方式传播自己:(1)通过电子邮件将自身发送到能找到的受感染主机的所有地址;(2)找寻并发送自身到打开文件共享的主机.
蠕虫为它发送的每份副本生成不同的名;每个有随机生成的文件名,而文件名使用的是超过十几个文件扩展名中的其中一个.
蠕虫也会从超过100个的电子邮件主题中去选择并找寻类似数量的电子邮件主体.
当蠕虫感染主机时,它会获得管理权并尝试使用文件传输协议(FTP)从不同IP地址下载DDoS代理.
(提供代理的IP地址数量是未知的).
虽然防病毒软件供应商会很快发出对这种蠕虫的警告,但在任何供应商发布特征库之前它传播非常迅速.
在蠕虫开始传播后三小时,在防病毒特征库可用之前,机构已经被广泛感染.

下面是为此案例设置的附加问题:a)事件响应小组如何辨识所有受感染主机b)在防病毒特征库发布之前机构如何去防止蠕虫进入机构c)在防病毒特征库发布之前机构如何去防止蠕虫由受感染主机传播d)机构将会给所有易受攻击的机器打补丁吗如果这样做的话,要怎么样做e)如果已经收到DDoS代理的受感染主机在第二天早晨被配置去攻击另一机构的网站,将怎么样去应对这一事件的变化f)事件响应小组将怎样让机构用户知道事件的状态如果因为蠕虫而使电子邮件服务超负荷或者不能用该怎么办g)如果有的话,小组将使用什么其他措施去照看目前没有连接到网络的主机(比如旅途中的员工,偶尔拨号的外部雇员)案例2:外部DDoS攻击在一个星期日晚上,机构的网络入侵检测传感器中的其中一个对进行大容量ICMPpings的可疑外部DDoS活动发出警告.
入侵分析师检查了这个警告;虽然分析师不能确定这个警告是正确的,但他们不会和任何已知的误报相匹配.
分析师联系事件响应小组这样他就能进一步调查此活动.
因为DDoS活动使用骗人的源IP地址,去确认机构内哪一台或者哪些主机在进行此项活动需要花费相当多的时间和精力;与此同时,DDoS活动仍在继续.
调查结果显示,7台服务器好像生成DDoS通讯.
服务器的初步分析显示每一个都有DDoSrootkit的迹象.
下面是此案例的附加问题:a)小组将怎样确认机构内哪台主机在产生此通讯量其他的哪一小组可以协助事件响应小组b)在确认产生此通讯量的服务器后,小组将怎样推断出是否服务器受到恶意软件感染案例3:未经授权访问薪水册在一个星期三晚上,机构安全小组收到薪水管理人员的电话,而她碰见了离开其办公室的一个陌生人.
管理人员看见那人顺着走廊跑下去并进入通向大楼出口的楼梯.
管理人员在离开时工作台是开启的,并仅在几分钟时间内没有看管.
薪水程序仍然登录运行着并且留着主要的菜单画面,好像和管理人员离开时一样,但她发现鼠标似乎移动过.
事件响应小组被要求去找寻与此事件相关的证据,并去推断什么活动执行过(比如薪水数据库被访问或者修改,特洛伊木马传播).

下面是对此案例的附加问题:a)小组怎样推断什么活动执行过并且知道什么恶意软件(如果有的话)被安装了b)因为已知入侵者,将如何处理与其他恶意软件事件不同的此类事件案例4:远程办公安全在一个星期六晚上,网络入侵检测软件记录到了一些来自内部的探测和扫描.
一些服务器的主机入侵检测软件也记录了一些探测与扫描.
入侵检测分析师断定这些内部IP属于这个机构的VPN服务器,并且联系了事件响应小组.
事件响应小组查看了入侵检测记录,防火墙,VPN服务器日志,并确定了发动攻击的外部IP地址,被授权的用户ID和相应的用户名.

下面是此案例的附加问题:a)假设该用户的个人电脑已经被一个家庭成员下载的游戏中包含的木马所感染.
这将怎样影响事件的处理呢b)假设该用户的个人电脑已经被一个网络服务蠕虫所感染.
这将怎样影响事件的处理呢案例5:应用程序崩溃在一个星期一上午,该机构的咨询服务部门收到三个用户的求助,他们的电子表格应用程序在使用过程中反复崩溃.
接下来,更多其他用户也反映了类似的问题.
大部分的用户在同一组或相关的组.
a)什么恶意软件导致了电子表格应用程序的崩溃最可能的非恶意软件的因素是什么呢b)为了确定崩溃是恶意软件引起的应该采取哪些步骤案例6:恶意移动代码在一个星期五下午,几名用户联系咨询服务部门,报告陌生的弹出式窗口和在其网络浏览器中的工具栏.
这些用户的描述很相似,因此咨询服务部门代理商认为,用户的系统被同样的东西影响,而且最可能的原因是基于Web的恶意移动代码.

a)事件响应小组怎样确定什么漏洞或配置允许这种恶意代码感染系统b)事件响应小组怎样确定这些恶意移动代码来自哪些网站案例7:混合恶意软件攻击该机构采用了一个新的即时通讯平台后不久,其使用者就受到广泛的恶意软件的攻击,此恶意软件是通过使用即时消息来传播的.
从安全管理员的初步报告来看,攻击似乎是由蠕虫引起的.
然而后来的报告表明这种攻击也涉及到web服务器和web客户端.
即时通讯和基于网络的攻击看起来与蠕虫有关,因为它们显示相同的信息给使用者.