防病毒策略和程序
检查病毒攻击如何传播并查看特定攻击可以清楚地了解病毒造成的危险。我们还了解了病毒扫描程序的工作原理,包括检查一些商业防病毒产品。然而,防病毒扫描程序并不是保护自己的唯一方法对抗病毒。事实上,在某些情况下,病毒扫描程序根本不够用。将需要策略和程序来完成防病毒策略。策略和程序只是书面规则,规定管理员和最终用户应采取的某些操作以及他们应避免的其他活动。以下是对适当的防病毒策略的简要检查。
始终使用病毒扫描程序。国外有McAfee、Norton、AVG、Kaspersky,国内有安天、奇安信、瑞星等是最广为人知和使用的病毒扫描程序。国内个人免费杀毒有360、金山等。
·如果不确定附件是否正确,请勿打开它。当专门向某人请求文件时,打开该人的附件可能是安全的。然而,意想不到的依恋总是引起担忧。
·考虑与朋友和同事交换暗号。如果他们想发送附件,请告诉他们将代码词放在邮件标题中。如果没有代码字,请勿打开任何附件。
·不要相信向陌生人发送的“安全警报”。Microsoft不会以这种方式发送补丁。定期检查其网站以及前面提到的防病毒网站之一。
·对发送的任何电子邮件都要持怀疑态度。将电子邮件保留在官方交通中将有助于减少危险。笑话、Flash影片等根本不应该在公司电子邮件系统上发送。
·不要从Internet下载文件。如果需要下载文件,IT部门应该这样做,仔细扫描文件,然后将其转发给用户。现在显然很多人会选择下载文件,所以这个警告是一个不太可能实现的理想。如果觉得有必要下载文件,应该遵循两个简单的规则:
2.首先下载到没有网络的机器上。然后可以扫描该系统是否有病毒。事实上,如果确实要求IT部门下载某些内容,他们很可能会采用这种流程。
这些策略不会使系统100%防病毒,但它们将在保护系统方面发挥很大作用。
保护系统的其他方法
安装和运行防病毒软件以及制定可靠的防病毒策略都是保护系统的非常重要的步骤。事实上,许多组织只使用这两个步骤。但是,可以采取其他重要步骤来保护系统免受病毒攻击:
·将所有浏览器设置为阻止活动代码(ActiveX、脚本等)。请注意,这将使某些网站无法查看。安全性和可用性之间的折衷方案是将所有浏览器设置为在执行任何活动代码之前警告用户。
·设置所有用户账户,使他们无法安装软件或更改浏览器安全设置。
·隔离子网(尤其是像大学校园实验室这样的高风险子网),并在该子网和网络的其余部分之间放置一个通过自身的病毒扫描来严格保护的防火墙。
显然这些项目是额外的。许多组织既不隔离子网,也不阻止用户安装软件或更改浏览器安全设置。许多组织对简单地安装防病毒扫描程序和设置一些策略感到满意。但是,如果想要一个真正完整的防病毒策略,这些额外的步骤是该完整策略的一部分。
如果系统感染了病毒该怎么办
不幸的现实是,无论采取什么措施来防止病毒感染,系统仍然有可能被病毒感染。下一个问题是,你做什么?反应的某些方面将取决于病毒的严重程度及其传播范围,但通常需要关注三件事:
·阻止病毒的传播。
·清除病毒。
阻止病毒传播
一旦发生病毒感染,首要任务是阻止感染传播。当然,如何做到这一点将取决于病毒传播的程度。如果病毒仅影响一台计算机,只需将该计算机与网络断开即可。但是,不太可能在病毒传播到单台计算机之外之前检测到该病毒。鉴于这一事实,通常希望遵循以下步骤:
·如果感染发生在WAN的某个网段上,请立即断开该WAN连接。
·如果感染发生在子网上,请立即断开该子网。
·如果有包含敏感数据的服务器(以任何方式)连接到受感染的计算机(或多台计算机),请断开这些服务器的连接。这将防止敏感数据丢失。
·如果有备份设备连接到受感染的机器,请将其断开。这将防止备份介质被感染。
显然,目标是避免系统感染病毒。但是,如果发生不幸的事件,遵循这些步骤可以最大程度地减少损害并让系统在更短的时间内恢复并正常运行。
删除病毒
隔离受感染的机器后,下一步就是清理它们。如果知道特定的病毒,那么应该能够通过运行防病毒程序来删除它,或者应该能够在互联网上找到病毒删除说明。万一无法删除病毒,那么可能别无选择,只能格式化计算机(或多台计算机)并从备份中恢复它们。但必须强调的是,这种情况的可能性很小。
如果成功删除病毒,则在将计算机重新连接到网络之前,需要彻底扫描计算机是否有任何其他病毒感染。在将其重新上线之前,需要绝对确保其完全干净。
找出感染是如何开始的
一旦遏制并清除了病毒,下一个目标就是确保它不再复发。最好首先查明病毒是如何进入系统的。为此,需要通过三种方式调查情况:
·与受感染计算机的用户交谈,看看是否有人打开任何电子邮件附件、下载任何内容或安装任何内容。由于这是最有可能感染病毒的三种途径,因此应首先检查它们。
·阅读该特定病毒的任何在线文档。它会告诉正常的繁殖方法。
·如果这些途径都没有告诉发生了什么,请检查该计算机可能具有的任何活动日志。
关键是要找出你当前的安全策略出了什么问题并加以纠正。
机器学习和恶意软件
许多消息来源讨论了机器学习在防御性网络安全中的日益集成。2,3,4然而,机器学习也被用于网络攻击。2021年一篇关于机器学习网络攻击的论文指出:
“……针对受控信息的窃取攻击,以及信息泄露事件的不断增加,已成为近年来新兴的网络安全威胁。由于高级分析解决方案的蓬勃发展和部署,新型窃取攻击利用机器学习(ML)算法取得了巨大成功率并造成大量损害。检测和防御此类攻击具有挑战性且紧迫,因此政府、组织和个人应高度重视基于机器学习的窃取攻击。本调查介绍了这种新型攻击的最新进展以及相应的对策。从三类目标受控信息的角度回顾了基于ML的窃取攻击,包括受控用户活动、受控ML模型相关信息和受控身份验证信息。对最近的出版物进行了总结,概括了一种总体攻击方法,并得出了基于ML的窃取攻击的局限性和未来方向。此外,还从检测、破坏。
2020年12月,Panda Security在线发表文章6警告称,未来的网络威胁很可能包括具有学习能力的恶意软件。该文章预测,未来几年可能会出现自学习恶意软件的使用,而机器学习恶意软件的重大攻击最早可能会在2024年出现。ZDNet上发表的2019年文章,题为“对抗AI:网络安全”战斗即将到来”概述了人工智能和机器学习在进攻行动中的使用,并且攻击有可能完全由人工智能执行。
2022年的一篇文章讨论了人工智能和机器学习中使用的训练数据受到攻击的危险。训练数据本身可能成为攻击目标。该信息可能包含敏感的个人身份信息(PII)或其他关键数据。
有报告称恶意软件有效负载已嵌入神经网络中。具体来说,一种名为EvilModel的技术将恶意软件有效负载嵌入到神经网络模型中。这允许恶意软件被提取并在目标上执行。
概括
病毒攻击,甚至病毒恶作剧,可以说是计算机网络面临的最大威胁。病毒传播方法越来越复杂,蠕虫病毒也变得越来越普遍。可以采取许多步骤来减轻计算机病毒爆发带来的危险。在制定内部病毒防护管理制度的基础上,结合技术实现,在防范计算机病毒工作中做到技管并重。
显然,第一步是使用病毒扫描程序。但是,绝对必须充分了解病毒扫描程序的工作原理,才能选择适合情况的扫描程序。有多种商业和免费的防病毒解决方案。任何安全专业人员都应该熟悉其中的几个。安装和配置防病毒解决方案后,下一步是建立书面策略和程序。准确地详细说明希望最终用户如何使用系统工具至关重要。保单中未涵盖的任何情况都是病毒感染的机会。
最后,可以采取更严格的措施,包括阻止用户安装软件、安全配置浏览器以及分离子网,以限制可能感染计算机的任何病毒的传播。将防病毒软件与系统的安全配置、软件的例行修补、防火墙和完善的安全策略相结合,可以实现更全面的保护。虽然本书中的各个主题分为多个章节,但必须记住,完整的安全策略必须让所有这些元素协同工作,这一点至关重要。
参考:
网络安全等级保护基本技术系列
防火墙知识系列
网络安全等级保护:Linux 防火墙
入侵检测知识系列
网络安全等级保护:了解和实施蜜罐
密码知识系列
网络安全等级保护:量子计算和量子密码学
VPN知识系列
网络安全等级保护:VPN的其他解决方案
操作系统知识系列
网络安全等级保护:加固修补操作系统
原文始发于微信公众号(祺印说信安):网络安全等级保护:防病毒策略和程序及其他保护方法
评论