【51CTO 1月19日外電頭條】對于擁有機密數(shù)據(jù)或敏感數(shù)據(jù)的組織來說，最可怕的現(xiàn)實是網(wǎng)絡(luò)安全威脅（例如：僵尸網(wǎng)絡(luò)，蠕蟲，和黑客攻擊）是永無止境的。

其中，僵尸網(wǎng)絡(luò)是最可怕的網(wǎng)絡(luò)安全威脅。這些由網(wǎng)絡(luò)犯罪者制造出來的，高度成熟的，漏洞探查式的威脅幾乎是無形的。不像前幾年那些破壞磁盤，讓網(wǎng)絡(luò)罷工的蠕蟲和特洛伊木馬，僵尸程序會讓網(wǎng)絡(luò)和計算機持續(xù)地運行，然后把數(shù)據(jù)發(fā)送給“僵尸主”，并且，它們很難被探查到。

大多數(shù)國家和當(dāng)?shù)氐恼畽C構(gòu)都采取了一些措施，盡量減少網(wǎng)絡(luò)被滲透的幾率，如果一次攻擊發(fā)生了，可以把這個威脅隔離開來，然后再排除它。但是，因為政府機構(gòu)總是被要求少花錢多辦事，所以，它們的網(wǎng)絡(luò)安全策略可能并不充分。為了幫助政府機構(gòu)制定出一套可以滿足它們的特定需求的策略來，針對政府機構(gòu)的規(guī)模，類型，可用的預(yù)算，和必須要保護的敏感信息，CDW-G提供了以下這些方法：

1，安裝Windows防火墻

雖然可能對于終端用戶來說，禁用它的吸引力會更大一些，但是一個配置合理的Windows防火墻可以阻止許多基于網(wǎng)絡(luò)的攻擊。對于那些擁有很多配置相同的機器的大型機構(gòu)來說，這個方法尤其適用。#p#

2，禁用自動運行功能

自動運行功能可以自動地安裝軟件，為了防止操作系統(tǒng)盲目地運行一些來自于外部的命令，這個功能應(yīng)該被禁用。#p#

3，不要相信密碼

對本地賬戶進行控制（尤其是本地的管理員賬戶）是至關(guān)重要的，這可以隔離并消除一些威脅。禁用計算機的自動連接功能可以防止僵尸程序擴散到整個內(nèi)部網(wǎng)絡(luò)。在一些存儲著高度機密數(shù)據(jù)的環(huán)境中，這一點顯得尤為重要。#p#

4，考慮一下網(wǎng)絡(luò)分割

在大多數(shù)計算環(huán)境中，工作站都無需跨部門地進行通信。關(guān)閉這個功能可以有效地防止僵尸程序進行擴散。IT經(jīng)理應(yīng)該建立私有的虛擬局域網(wǎng)（VLAN：virtual local area networks），或者在子網(wǎng)之間建立訪問控制列表（ACL：access control lists）來限制“暴露”程度。這個策略也許并不是最合適的，但是，在聲音和數(shù)據(jù)混合通信的環(huán)境中，這個策略可以防止在傳輸過程中negotiate一個虛擬回路（virtual circuit）。#p#

5，提供最少的權(quán)限

當(dāng)用戶不是工作站管理員的時候，惡意軟件很難通過下載的方式來傳播，它們也很難通過自動運行方法駐留在一個系統(tǒng)中。如果不給用戶提供管理員權(quán)限的話，惡意軟件很難通過它們的用戶賬戶憑證來傳播，計算機也很難被感染。#p#

6，安裝主機入侵防御系統(tǒng)

為了防止僵尸程序在一個系統(tǒng)中“安家落戶”，IT經(jīng)理應(yīng)該在特定的網(wǎng)絡(luò)層上添加基于漏洞的防護，例如在特定的硬件和軟件之間的交互層上添加額外的防護。這個方法并不能修復(fù)操作系統(tǒng)或應(yīng)用軟件中的技術(shù)缺陷或漏洞，但是它可以減少攻擊成功的機會。雖然這些工具是十分有效的，但是它們是十分昂貴的，而且，它們通常很難部署。#p#

7，加強監(jiān)控

很多人都知道如何在正常情況下運維一個網(wǎng)絡(luò)，當(dāng)一個僵尸程序入侵引起了微小的異常的時候，要能實時地做出判斷。持續(xù)不斷地進行監(jiān)控絕對是一個好主意，你可以使用一些產(chǎn)品來收集網(wǎng)絡(luò)流量方面的數(shù)據(jù)，讓一些設(shè)備來監(jiān)控異常情況，探測并阻止入侵。但是，使用遠(yuǎn)程管理的安全服務(wù)也可以填補這塊空白，加強監(jiān)控也許已經(jīng)超出許多政府機構(gòu)的能力范圍了。#p#

8，對流出這個網(wǎng)絡(luò)的數(shù)據(jù)進行過濾

[[18399]]

僵尸程序通常會和一個或多個遠(yuǎn)程的服務(wù)器（黑客使用這些服務(wù)器來獲取一些私有的信息）進行通信。為了阻止這些通信，以及和它們有關(guān)的威脅，政府機構(gòu)應(yīng)該防止那些機密的數(shù)據(jù)流出這個網(wǎng)絡(luò)，輸出過濾（egress filtering）就是這方面的一個工具。政府機構(gòu)應(yīng)該通過代理（在下文中會詳細(xì)說明），內(nèi)容過濾器，或者通過部署一個數(shù)據(jù)丟失防護（DLP：data loss prevention）解決方案對流向互聯(lián)網(wǎng)的數(shù)據(jù)進行過濾。#p#

9，使用一個代理服務(wù)器 

雖然這種方法無法阻止所有的惡意輸出數(shù)據(jù)流，但是，對于監(jiān)控和控制Web訪問，以及阻止一些想繞過安全機制的企圖來說，通過一個代理服務(wù)器對輸出的數(shù)據(jù)流進行過濾是第二道屏障。#p#

10，安裝基于信譽度的過濾器

像IronPort和WebSense那樣的工具可以幫助你阻止來自于可疑地址（這些地址可能是潛在的惡意軟件來源）的e-mail。#p#

11，對DNS查詢進行監(jiān)控

[[18400]]

一個工作站對域名解析系統(tǒng)（DNS：domain name system）查詢的響應(yīng)方式通常應(yīng)該是對可能已經(jīng)被感染的工作站的簽名進行早期預(yù)警。具體來說，那些包含存活時間極短的值的響應(yīng)都應(yīng)該被監(jiān)控，存活時間短很可能意味著已經(jīng)被感染了。監(jiān)控可以讓系統(tǒng)管理員在感染擴散以前采取一些措施。

這里提到的這些步驟針對政府機構(gòu)的具體規(guī)模，以及IT部門的規(guī)模和預(yù)算，給網(wǎng)絡(luò)安全策略提供一個框架。CDW-G建議，各個政府機構(gòu)應(yīng)該對每個步驟進行評估，設(shè)計出一套可以滿足它們的特定需求的策略來。

原文名：11 Ways to Combat Botnets, the Invisible Threat

原文鏈接：http://www.esecurityplanet.com/features/article.php/3920881/article.htm

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. Anonymous黑客攻擊烏合之眾
2. 盤點網(wǎng)絡(luò)安全發(fā)展 2011網(wǎng)絡(luò)威脅抗戰(zhàn)將再起風(fēng)云
3. 攻擊數(shù)據(jù)報告可為系統(tǒng)管理員提供網(wǎng)絡(luò)威脅防范指導(dǎo)
4. 黑客分享之拆解僵尸網(wǎng)絡(luò)SpyEye控制臺