网络犯罪的手法总是不断翻新,他们不停优化武器和攻击策略,无情地漫游网络以寻找下一个大目标。
各种各样的敏感信息、隐私数据,如保密的员工档案,客户的财务数据,受保护的医疗文件和政府文件,都面临着网络安全的无情威胁。
解决问题的方法很多,从培训Email用户安全意识到确保VPN 终止开关到位,再到添加广泛的高级网络保护层。
为了成功防御黑客、蠕虫病毒和恶意软件(如僵尸网络)的严重威胁,网络管理人员需要采用所有适合全面网络防御战略的工具和方法。
在上述所有威胁中,僵尸网络无疑是最令人不安的安全风险。它们不仅仅是业余网络罪犯的恶行,更是最黑暗的网络骗术。
最让人谈虎色变的是它们的隐蔽性——隐身潜伏在周围寻找漏洞利用机会的能力。
僵尸网络如何工作?
僵尸网络并不是一种直接的黑客战略武器,它是微妙的数据提取恶意软件。它们潜入网络,未经授权访问计算机,并允许恶意软件在不被察觉的情况下继续运行,同时它们窃取数据并将其导出受害者网络之外进入等待中的“僵尸主机”,在整个过程中逃避检测。
如何阻止僵尸网络?
网络防御的第一线必须有人把守——那些真正使用计算机工作的人、在办公室执行日常任务的人。
应对不断演变的威胁的最佳防御措施是培训作为黑客潜在目标的用户。网络防御的第一线涵盖网络交互的所有范围,从电子邮件到社交媒体。
建议实施一种策略,该策略应结合您组织的实际情况,将以下尽可能多的方法(从一些基本方法到复杂的解决方案)纳入考虑范围:
1. 确保您的VPN设置了一个终止开关
虚拟专用网络(VPN)允许用户通过公共网络连接到VPN来访问机密信息。你的VPN应该有一个终止开关,以防止敏感数据(如IP地址)无意中通过不安全的连接传输。
2. 开发强大的系统来捕获和阻止BEC
商业电子邮件泄露是一种常见的攻击策略,英文缩写为BEC(Business Email Compromise),BEC诈骗事件的数量不断上升,这种攻击很难防御。
- BEC检测和消除的解决方案需要有效的分类和策略来阻止可疑电子邮件发件人,内容和附件。
- 安装防御网关Web工具(例如WebSense,McAfee),以帮助阻止从不良来源接收电子邮件,并阻止将请求发送给被认为可能是恶意软件来源的地址。
3. 建立严防BEC的文化
据报道,社交操纵是犯罪分子用来攻击电子邮件账户的最常见方法之一。他们早就发现,点击电子邮件附件是许多忙碌用户的一种条件反射。因此,可以通过以下方法增强系统的安全性:
- 假设用户始终会打开电子邮件附件,即使你的组织在员工手册里有那么不显眼的一条政策——在点击前三思而后行,也要更彻底地推进这项政策。
- 为员工提供有关网络安全的意识培训和知识、技能更新,例如使用强密码。
- 教用户如何获得帮助以及使用实时解决方案来隔离和避免利用网络的各种攻击。
- 教用户勤于举报可疑电子邮件。在培训中要包括电子邮件攻击和模拟演示,以帮助他们学会识别攻击,并为账户最易受攻击的用户提供额外支持。
4. 切换到手动软件安装
尽管这条建议可能不受欢迎,但是某些组织应该根据其威胁状况通过自动运行功能禁用软件的自动安装。
禁止自动运行自动安装软件有助于防止计算机操作系统不加选择地从未知的外部源启动不需要的命令。
5. 启用Windows防火墙
安装Windows防火墙对于抵御安全威胁的基线保护至关重要。用户可能想要禁用Windows防火墙,以防止其阻止他们要建立的网络连接。
如果您的联网计算机有替代的适当的防火墙保护,则最好甚至有必要禁用Windows防火墙。
关键是要配置适当的防火墙保护。
6. 网络隔离
考虑网络隔离。在当今的工作环境中,大多数计算机站必须每天在部门之间多次相互通信。
然而,对于不需要这种广泛访问权限的机器来说,限制或消除这种能力在很大程度上有助于阻止僵尸网络在你的网络中传播。
尽可能:
- 通过形成虚拟局域网(VLAN)将网络风险降到最低。
- 使用访问控制列表(ACL)筛选器限制对对象的访问并限制威胁暴露。
7. 使用数据过滤
僵尸网络恶意软件通常通过与至少一个远程命令和控制服务器建立交互来工作,黑客还利用该服务器非法提取敏感信息。
要阻止恶意互动并阻止犯罪活动,请对流出网络的信息使用数据过滤。
一些可行的方法包括:
- 可以应用出口内容过滤工具,强制组织的网络流量通过过滤器,以防止信息流出组织网络。
- 数据丢失预防(DLP)解决方案还可用于监视未经授权的访问和破坏,防止它们泄漏信息。
8. 打破域信任关系
消除密码信任以重新获得对本地账户的更严格控制。谨慎地控制本地管理员账户对切断威胁并消除威胁至关重要。
禁用计算机的自动互连功能,可以切断僵尸网络用来在内部网络中传播的路由。
在某些或许多计算机包含高度敏感数据的网络中,这可以提供一种安全的替代方法来防御僵尸网络攻击。
9. 采取额外的预防措施
设置额外的保护层,以帮助防止僵尸网络在您的系统中自我保护,重点是强化支撑网络,例如,某些特别脆弱的特定接触点、来自某些硬件或软件组件的路由。
记住以下几点:
- 基于主机的入侵检测系统效率极高,但成本也很高,通常很难部署成功。
- 这些工具无法纠正操作系统的缺陷或其他现有技术缺陷。
10. 增强和增加网络监控
密切监控网络,掌握网络连接用户在组织内的操作活动,可显着提高网络防御解决方案的能力
当僵尸网络或其他恶意软件入侵开始时,更深入地监测网络交互行为,可以更快速地检测到异常活动。
- 理想情况下,应该采用24小时监控网络的策略,使用数据收集工具检测异常行为并阻止渗透系统的尝试。
- 考虑购买远程网络安全服务,以获取范围更广、质量更高的网络监控设备和专业知识,这可能超出内部IT设施和/或一个员工提供全天候服务的水平。
11. 使用代理服务器控制网络访问
创建一个可以监控互联网访问的支持出口点,从而增强监视工作的力度。通过代理服务器路由出站信息可以阻止网络犯罪分子绕过网络安全性的尝试。
对于大多数网络,通过代理服务器过滤内容是一种实用的选择,尽管停止每一点疑似有问题的出站信息可能并不现实。
12. 应用最低特权原则
一般而言,访问权限应该基于用户功能的需要。如果管理员与特定工作站的用户不是同一个人,则通过下载传播恶意软件的难度会大得多。
这也使得采用自动运行策略来利用系统变得更加困难。这进一步增加了犯罪者通过利用用户的网络账户凭据将恶意软件从一个被渗透的计算机工作站传播到其他工作站的难度。
13.监视对域名系统的查询响应
持续监视工作站对DNS服务器的查询是识别僵尸网络渗透症状的一个极好的方法。例如,监视低生存时间(TTL)。
TTL值异常低可能表明僵尸网络渗透。通过仔细监测低TTL值,系统管理员可以采取措施来抵抗攻击,并在感染蔓延之前消除僵尸网络。
14. 随时掌握紧急威胁
让IT团队及时掌握最新的本地、国家和全球网络威胁动态。例如,据报道,使用电子邮件中的URL渗透到内部网络的犯罪发生率比使用附件的犯罪发生率高得多。
更普遍地说,在过去一年里,通过使用僵尸网络成功从内部网络窃取信息的比例十分惊人。
及时了解新的动态和不断更新的网络威胁是网络管理专业人员必须始终如一地坚持的首要活动,以有效地保护系统安全。
更安全地迈入2020年
为了保护那些信任你的人,保护他们敏感的个人信息,保护你的品牌声誉,你需要全方位地捍卫网络安全。
使用上述策略、方法和工具,来确保你已有效地防御来自电子邮件,移动访问点,社交平台和任何其他媒体的网络攻击。
如前所述,僵尸网络现在占网络犯罪的绝大比例。使用上述方法可以帮助你构建一个稳固的网络安全框架,该框架可以根据不同网络预算和规模进行灵活调整和扩展。